Los investigadores de ciberseguridad terminaron una nueva operación de software espía dirigida a usuarios en Pakistán que aprovecha las versiones troyanizadas de aplicaciones legítimas de Android para llevar a cabo vigilancia encubierta y espionaje.
Diseñado para enmascarar aplicaciones como Pakistan Citizen Porta l, una aplicación de reloj de oración musulmana llamada Pakistan Salat Time , Mobile Packages Pakistan , Registered SIMs Checker y TPL Insurance , se ha descubierto que las variantes maliciosas ofuscan sus operaciones para descargar sigilosamente una carga útil. en forma de un archivo ejecutable de Android Dalvik (DEX).
“La carga útil DEX contiene la mayoría de las características maliciosas, que incluyen la capacidad de exfiltrar de forma encubierta datos confidenciales como la lista de contactos del usuario y el contenido completo de los mensajes SMS”, dijeron los investigadores de amenazas de Sophos Pankaj Kohli y Andrew Brandt.
“La aplicación envía esta información a uno de los pocos sitios web de comando y control alojados en servidores ubicados en Europa del Este”.
Curiosamente, el sitio web falso del Portal Ciudadano de Pakistán también se mostró de forma destacada en forma de una imagen estática en el sitio web de Trading Corporation of Pakistan (TCP), potencialmente en un intento de atraer a los usuarios desprevenidos para que descarguen la aplicación con malware.
Visitar el sitio web de TCP (tcp.gov.pk) ahora muestra el mensaje “Inactivo por mantenimiento”.
Además de las aplicaciones antes mencionadas, los investigadores de Sophos también descubrieron una aplicación separada llamada Pakistan Chat que no tenía un análogo benigno distribuido a través de Google Play Store. Pero se descubrió que la aplicación aprovecha la API de un servicio de chat legítimo llamado ChatGum.
Una vez instalada, la aplicación solicita permisos intrusivos, incluida la capacidad de acceder a contactos, sistema de archivos, ubicación, micrófono y leer mensajes SMS, lo que le permite recopilar una amplia franja de datos en el dispositivo de la víctima.
Todas estas aplicaciones tienen un propósito singular: llevar a cabo una vigilancia encubierta y exfiltrar los datos de un dispositivo objetivo. Además de enviar el identificador IMEI único, la carga útil DEX transmite información de perfil detallada sobre el teléfono, información de ubicación, listas de contactos, el contenido de los mensajes de texto, registros de llamadas y la lista completa del directorio de cualquier almacenamiento interno o de tarjeta SD en el dispositivo.
Es preocupante que la aplicación maliciosa Pakistan Citizen Portal también transmite información confidencial, como los números de la tarjeta de identidad nacional computarizada ( CNIC ) de los usuarios , los detalles de su pasaporte y el nombre de usuario y contraseña de Facebook y otras cuentas.
“La capacidad de espionaje y vigilancia encubierta de estas aplicaciones de Android modificadas resalta los peligros del software espía para los usuarios de teléfonos inteligentes en todas partes”, dijo Pankaj Kohli. “Los ciber-adversarios apuntan a los móviles no solo para tener en sus manos información personal y sensible, sino porque ofrecen una ventana en tiempo real a la vida de las personas, su ubicación física, movimientos e incluso conversaciones en vivo que tienen lugar dentro del rango de escucha del teléfono infectado. . ”
En todo caso, el desarrollo es otra razón más por la que los usuarios deben apegarse a fuentes confiables para descargar aplicaciones de terceros, verificar si una aplicación fue construida por un desarrollador genuino y examinar cuidadosamente los permisos de la aplicación antes de la instalación.
“En el ecosistema actual de Android, las aplicaciones están firmadas criptográficamente como una forma de certificar que el código se origina en una fuente legítima, vinculando la aplicación a su desarrollador”, concluyeron los investigadores. “Sin embargo, Android no hace un buen trabajo al exponer al usuario final cuando el certificado de una aplicación firmada no es legítimo o no se valida. Como tal, los usuarios no tienen una manera fácil de saber si una aplicación fue publicada realmente por su desarrollador.”
“Esto permite a los actores de amenazas desarrollar y publicar versiones falsas de aplicaciones populares. La existencia de una gran cantidad de tiendas de aplicaciones y la libertad de los usuarios para instalar una aplicación desde prácticamente cualquier lugar hace que sea aún más difícil combatir tales amenazas”.
Fuente: thehackernews.com.