News

Cibercriminales distribuyen un programa espía que se hace pasar por Telegram y Threema

Investigadores de seguridad han publicado información sobre un programa malicioso para Android que está circulando en los mercados extraoficiales de aplicaciones haciéndose pasar por los programas de mensajería segura Threema y Telegram.

Los investigadores de Eset dieron la voz de alerta sobre la amenaza, que detectan como Android/SpyC23.A. El programa es parte del paquete de amenazas con el que opera el grupo cibercriminal APT-C-23, que lleva operando desde 2017 dirigiendo sus ataques en su mayoría hacia usuarios del Medio Oriente.

Los investigadores llevan investigando esta nueva variante desde abril, pero acaban de publicar sus descubrimientos. La encontraron en una tienda de aplicaciones extraoficial de Internet, haciéndose pasar por aplicaciones legítimas para Android. “Cuando analizamos la tienda falsa, contenía tanto aplicaciones maliciosas como legítimas. El malware se escondía en aplicaciones haciéndose pasar por AndroidUpdate, Threema y Telegram. En algunos casos, a las víctimas se les instalaba tanto el malware como la aplicación prometida”.

Una vez instalado, el malware seguía desplegando métodos engañosos para conseguir los permisos que le permitieran operar en el dispositivo. “Los atacantes usaron técnicas similares a las de ingeniería social para engañar a las víctimas para que le den al malware derechos adicionales. Por ejemplo, los permisos para leer notificaciones se hacen pasar por características de cifrado de mensajes”.

Esto le permitía proceder a recolectar información de los dispositivos: mensajes SMS, listado de contactos, archivos almacenados y registro de llamadas. Además, era capaz de tomar fotografías y grabar videos y audios sin el conocimiento del usuario, y al mismo tiempo, eliminar las notificaciones de los programas de seguridad para mantener ocultas sus actividades.

“Para mantenerse protegidos del spyware, recomendamos a los usuarios de Android que sólo instalen Apps desde la tienda oficial de aplicaciones Google Play, revisen bien los permisos que solicitan, y utilicen una solución de seguridad actualizada y de confianza”, recomendó Lukáš Stefanko, investigador de Eset.

Fuentes
ESET catches spyware posing as Telegram, Android messaging apps • Cyberscoop
Cuidado: descubren un virus espía que se hace pasar por Telegram en tiendas falsas de Android • ACB.es
ESET Research uncovers APT-C-23 group’s new Android spyware masked as Threema and Telegram • Security Magazine

Cibercriminales distribuyen un programa espía que se hace pasar por Telegram y Threema

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada