Los expertos de Skycure analizaron Exaspy, un programa espía para Android detectado en los ataques contra los ejecutivos de corporaciones. Este malware móvil se ofrece en línea como un servicio completo, por 15 dólares al mes. El análisis reveló que el Exaspy es capaz de interceptar casi todas las comunicaciones en el smartphone, entre ellas llamadas, mensajes de texto, sesiones de Skype, fotos, etc.
El nuevo espía fue identificado en septiembre, cuando uno de los clientes Skycure descubrió en el teléfono de uno de sus empleados una falsa aplicación, que se autodenominaba Google Services y disfrutaba de todos los privilegios de administrador. Según Elisha Eshed, investigador de Skycure, la víctima de la infección ocupa un alto cargo en una empresa transnacional de tecnología.
Según los resultados del análisis, Exaspy sólo es compatible con teléfonos Android y para su instalación se requiere acceso físico al dispositivo. Una vez instalado, la primera tarea del malware es esconderse: haciéndose pasar por un programa llamado Google Services, desconecta su componente base para no aparecer en el panel de ejecución rápida y empieza a ejecutarse en segundo plano. “La aplicación dice llamarse Google Services y utiliza un paquete llamado com.android.protect” escribe Eshed en el blog de Skycure, “Está claro que se camufla como Google Play Services”. El investigador también señaló que por el momento la mayoría de los antivirus para dispositivos móviles no detectan Exaspy.
Después de instalarse, Exaspy pide a la víctima derechos de administrador y comienza a recopilar la información que les interesa a sus dueños: SMS, MMS, mensajes instantáneos y mensajes de correo electrónico; llamadas, fotos, imágenes, contactos, entradas de calendario, historial del navegador, etc. Además, utilizando el código del servidor de administración del malware, los operadores pueden supervisar los archivos locales y enviarlos, y también “ejecutar comandos shell o crear una shell inversa para elevar los privilegios de aplicaciones maliciosas mediante exploits no incluidos en el paquete básico”.
“Exaspy no se esconde en la web oscura (darkweb), pero sigue siendo un software espía de terceros utilizado en cantidades desconocidas”, dijo Eshed. “No hay ninguna certeza de que se pueda confiar en esta empresa, y esto no tiene importancia, ya que recopila información a pedido de sus clientes”.
Según Skycure, las peculiaridades que caracterizan a Exaspy son la existencia de acceso físico al dispositivo para su instalación, su funcionamiento con derechos de administrador, su activación mediante licencia y su instalación como paquete del sistema, lo que dificulta su desinstalación. También se notó que el malware se conecta a los servidores en la nube de Google, y que la descarga se hace desde la siguiente dirección URL especificada en el código: hxxp://www[.]exaspy[.]com.
“Hace tiempo que existen aplicaciones espía para Android y iOS”, escribe Eshed. “Sin embargo, varios casos de alto perfil han marcado una tendencia perturbadora: la complejidad y ubicuidad de los ataques contra objetivos de alto nivel”. Como ejemplo, el autor de la entrada en el blog citó el espía Pegasus para iOS, utilizado hace poco contra un conocido activista de los Emiratos Árabes Unidos, Ahmed Mansour y anteriormente contra el periodista mexicano Rafael Cabrera.
Como medidas preventivas, Skycure recomienda proteger el acceso al dispositivo con un PIN o con autenticación de huellas dactilares, desactivar la depuración por USB, revisar a intervalos regulares la lista de Administradores del Sistema en Android, y desactivar los componentes que no sean fiables.
Fuentes: Threatpost
Un espía Android comercial ataca a ejecutivos de empresas y corporaciones