Cibercriminales distribuyen un programa espía que se hace pasar por Telegram y Threema

Investigadores de seguridad han publicado información sobre un programa malicioso para Android que está circulando en los mercados extraoficiales de aplicaciones haciéndose pasar por los programas de mensajería segura Threema y Telegram.

Los investigadores de Eset dieron la voz de alerta sobre la amenaza, que detectan como Android/SpyC23.A. El programa es parte del paquete de amenazas con el que opera el grupo cibercriminal APT-C-23, que lleva operando desde 2017 dirigiendo sus ataques en su mayoría hacia usuarios del Medio Oriente.

Los investigadores llevan investigando esta nueva variante desde abril, pero acaban de publicar sus descubrimientos. La encontraron en una tienda de aplicaciones extraoficial de Internet, haciéndose pasar por aplicaciones legítimas para Android. “Cuando analizamos la tienda falsa, contenía tanto aplicaciones maliciosas como legítimas. El malware se escondía en aplicaciones haciéndose pasar por AndroidUpdate, Threema y Telegram. En algunos casos, a las víctimas se les instalaba tanto el malware como la aplicación prometida”.

Una vez instalado, el malware seguía desplegando métodos engañosos para conseguir los permisos que le permitieran operar en el dispositivo. “Los atacantes usaron técnicas similares a las de ingeniería social para engañar a las víctimas para que le den al malware derechos adicionales. Por ejemplo, los permisos para leer notificaciones se hacen pasar por características de cifrado de mensajes”.

Esto le permitía proceder a recolectar información de los dispositivos: mensajes SMS, listado de contactos, archivos almacenados y registro de llamadas. Además, era capaz de tomar fotografías y grabar videos y audios sin el conocimiento del usuario, y al mismo tiempo, eliminar las notificaciones de los programas de seguridad para mantener ocultas sus actividades.

“Para mantenerse protegidos del spyware, recomendamos a los usuarios de Android que sólo instalen Apps desde la tienda oficial de aplicaciones Google Play, revisen bien los permisos que solicitan, y utilicen una solución de seguridad actualizada y de confianza”, recomendó Lukáš Stefanko, investigador de Eset.

Fuentes
ESET catches spyware posing as Telegram, Android messaging apps • Cyberscoop
Cuidado: descubren un virus espía que se hace pasar por Telegram en tiendas falsas de Android • ACB.es
ESET Research uncovers APT-C-23 group’s new Android spyware masked as Threema and Telegram • Security Magazine

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *