El nuevo malware con amplias capacidades de software espía roba datos de los dispositivos Android infectados y está diseñado para activarse automáticamente cuando hay nueva información lista para su exfiltración.
El software espía solo se puede instalar como una aplicación de ' Actualización del sistema ' a través de tiendas de aplicaciones de Android de terceros, ya que nunca estuvo disponible en la Play Store de Google.
Esto limita drásticamente la cantidad de dispositivos que puede infectar, dado que los usuarios más experimentados probablemente evitarán instalarlo en primer lugar.
El malware también carece de un método para infectar otros dispositivos Android por sí solo, lo que se suma a sus limitadas capacidades de propagación.
Roba casi todo
Sin embargo, cuando se trata de robar sus datos, este troyano de acceso remoto (RAT) puede recopilar y exfiltrar una amplia gama de información a su servidor de comando y control.
Los investigadores de Zimperium que lo detectaron dijeron que es capaz de "robar datos, mensajes, imágenes y tomar el control de los teléfonos Android".
"Una vez en control, los piratas informáticos pueden grabar audio y llamadas telefónicas, tomar fotos, revisar el historial del navegador, acceder a los mensajes de WhatsApp y más", agregaron.
La amplia gama de capacidades de robo de datos del malware incluye:
- Robar mensajes de mensajería instantánea;
- Robar archivos de base de datos de mensajería instantánea (si la raíz está disponible);
- Inspeccionar los marcadores y las búsquedas del navegador predeterminado;
- Inspeccionar el historial de marcadores y búsquedas de Google Chrome, Mozilla Firefox y el navegador de Internet Samsung;
- Búsqueda de archivos con extensiones específicas (incluidos .pdf, .doc, .docx y .xls, .xlsx);
- Inspeccionar los datos del portapapeles;
- Inspeccionar el contenido de las notificaciones;
- Grabación de audio;
- Grabación de llamadas telefónicas;
- Tome fotografías periódicamente (ya sea a través de la cámara frontal o trasera);
- Listado de las aplicaciones instaladas;
- Robar imágenes y videos;
- Monitoreo de la ubicación GPS;
- Robar mensajes SMS;
- Robar contactos telefónicos;
- Robar registros de llamadas;
- Extraer información del dispositivo (por ejemplo, aplicaciones instaladas, nombre del dispositivo, estadísticas de almacenamiento).
Una vez instalado en un dispositivo Android, el malware enviará varios datos a su servidor de comando y control (C2) de Firebase, incluidas las estadísticas de almacenamiento, el tipo de conexión a Internet y la presencia de varias aplicaciones como WhatsApp.
El software espía recopila datos directamente si tiene acceso de root o utilizará los servicios de accesibilidad después de engañar a las víctimas para que habiliten la función en el dispositivo comprometido.
También escaneará el almacenamiento externo en busca de datos almacenados o en caché, los recopilará y los entregará a los servidores C2 cuando el usuario se conecte a una red Wi-Fi.
Se esconde a plena vista
A diferencia de otro malware diseñado para robar datos, este se activará utilizando los receptores contentObserver y Broadcast de Android solo cuando se cumplan algunas condiciones, como la adición de un nuevo contacto, nuevos mensajes de texto o la instalación de nuevas aplicaciones.
"Los comandos recibidos a través del servicio de mensajería de Firebase inician acciones como la grabación de audio desde el micrófono y la filtración de datos como mensajes SMS", dijo Zimperium.
"La comunicación de Firebase solo se usa para emitir los comandos, y se usa un servidor C&C dedicado para recopilar los datos robados mediante una solicitud POST".
El malware también mostrará notificaciones falsas de actualización del sistema "Buscando actualización ..." cuando reciba nuevos comandos de sus maestros para camuflar su actividad maliciosa.
El software espía también oculta su presencia en los dispositivos Android infectados al ocultar el icono del cajón / menú.
Para evadir aún más la detección, solo robará miniaturas de videos e imágenes que encuentre, reduciendo así el consumo de ancho de banda de las víctimas para evitar llamar su atención sobre la actividad de exfiltración de datos de fondo.
A diferencia de otro malware que recolecta datos a granel, este también se asegurará de que extraiga solo los datos más recientes, recopilando datos de ubicación creados y fotos tomadas en los últimos minutos.
Los indicadores de compromiso, incluidos los hash de muestra de malware y las direcciones de servidor C2 utilizadas durante este software espía, están disponibles al final del informe de Zimperium
Fuente: https://www.bleepingcomputer.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios