Descubren un malware Android que se disfraza de actualizaci��n del SO

Cuidado al actualizar el m��vil, porque puede ser que actives en su lugar un nuevo tipo de malware descubierto.

Actualizado a 29 de marzo de 2021 22:02 CEST

Si en el mundo de la droga los narcotraficantes tienen que usar m��todos m��s y m��s novedosos para poder cruzar fronteras con su mercanc��a ilegal, en el mundo del cibercrimen los hackers tienen que hacer lo mismo para sortear los mecanismos de defensa y seguridad de las tiendas de apps, sistemas operativos, etc.

Pero en Zimperium zLabs han descubierto uno de esos malware que da miedo, porque puede disfrazarse de actualizaci��n del sistema operativo.

Un malware disfrazado de update del SO

Investigadores de Zimperium zLabs han descubierto una nueva aplicaci��n ��inteligente y maliciosa para Android��, un malware capaz de adoptar la forma de una aplicaci��n de actualizaci��n del sistema para robar datos, im��genes, mensajes y usurpar el control de tel��fonos Android completos.

Los investigadores de zLabs descubrieron esta supuesta aplicaci��n de actualizaci��n del sistema despu��s de detectar una aplicaci��n marcada por el motor de malware z9, que es el encargado de la detecci��n en el dispositivo de zIPS. Una investigaci��n demostr�� que esta actividad se remonta a una campa?a de spyware avanzado, y los investigadores corroboraron con Google que dicha app nunca hab��a existido ni estaba previsto su lanzamiento en Google Play.

Capaz de ocultarse en tu dispositivo

Una vez que ha atacado e invadido tu dispositivo, este malware y los atacantes que est��n detr��s de ��l pueden llevar a cabo acciones como:

Robar mensajes de los sistemas de mensajer��a instant��nea (WhatsApp, Messenger, Telegram) y de sus archivos de base de datos
Examinar los marcadores y b��squedas por defecto de los navegadores
Inspeccionar el historial de marcadores y b��squedas de los navegadores de Internet Google Chrome, Mozilla Firefox y Samsung
Buscar archivos con las extensiones espec��ficas . doc, .docx, .pdf, .xls y .xlsx
Examinar los datos del portapapeles y el contenido de las notificaciones
Tener el control de la c��mara del m��vil y hacer fotos peri��dicas a trav��s de la c��mara frontal o trasera
Ver las aplicaciones instaladas
Robar im��genes y v��deos
Monitorizar a trav��s del GPS
Robar los contactos del tel��fono y los mensajes SMS as�� como los registros de llamadas
Exfiltrar informaci��n del dispositivo, como el nombre del mismo y los datos de almacenamiento.

El malware, que puede incluso ocultarse ocultando su icono en el men�� de los dispositivos, funciona mediante la ejecuci��n de Firebase Command and Control (C&C) tras su instalaci��n desde una tienda de aplicaciones de terceros que no es de Google, bajo los nombres de "update" y "refreshAllData". Para aumentar su sensaci��n de legitimidad, la aplicaci��n contiene informaci��n sobre caracter��sticas como:

La presencia de WhatsApp
El porcentaje de bater��a
Las estad��sticas de almacenamiento
El tipo de conexi��n a Internet
El token del servicio de mensajer��a Firebase

Una vez que el usuario selecciona "actualizar" la informaci��n existente, la app se infiltra en el dispositivo afectado. Tras la difusi��n, el C&C recibe todos los datos relevantes, incluido el nuevo token de Firebase generado.

Se instala por terceros

Mientras la comunicaci��n de Firebase realiza los comandos necesarios, el servidor de C&C dedicado utiliza una solicitud POST para recoger los datos robados. Entre las acciones m��s destacadas que desencadenan la exfiltraci��n por parte de la aplicaci��n se encuentran a?adir un nuevo contacto, instalar una nueva aplicaci��n a trav��s del contentObserver de Android o recibir un nuevo SMS.

Lo ��nico bueno de esta historia es que la aplicaci��n s��lo se puede instalar a trav��s de terceros, y nunca por Google Play Store o la App Store, algo que refuerza el consejo de que nunca nunca instales una app que no venga de una tienda oficial.