Seguridad

El Malware se disfraza de app de rastreo del coronavirus

  • El grupo Transparent Tribe utiliza el Covid-19 y el porno como temas para insertar código malicioso en supuestas aplicaciones para smartphones Android

El malware es capaz de extraer numerosos datos de los smartphones. El malware es capaz de extraer numerosos datos de los smartphones.

El malware es capaz de extraer numerosos datos de los smartphones.

Los expertos en seguridad han encontrado un nuevo spyware para Android distribuido por el grupo de APT Transparent Tribe en la India bajo el disfraz de contenido para adultos y aplicaciones oficiales de Covid-19, lo que refleja la tendencia del grupo a ampliar sus operaciones e infectar dispositivos móviles. Esta y otras conclusiones se comunicaron en la segunda parte de una investigación sobre dicho actor de amenazas.

La pandemia se ha convertido en una temática habitual para los actores de amenazas, que han lanzado ataques de ingeniería social que aún hoy siguen siendo relevantes. Transparent Tribe, un actor de amenazas rastreado por Kaspersky durante más de cuatro años, también ha adoptado este tema en sus campañas. Los hallazgos más recientes muestran que el grupo ha estado trabajando activamente en la mejora de sus herramientas y en su alcance para incluir amenazas a dispositivos móviles. Durante la investigación sobre Transparent Tribe, Kaspersky encontró un implante de Android utilizado para espiar los dispositivos móviles en los ataques que distribuyó en la India aprovechando las aplicaciones falsas de rastreo de Covid-19 y de pornografía. La conexión entre el grupo y las dos aplicaciones se realizó gracias a los dominios relacionados que el actor utilizó para alojar archivos maliciosos para diferentes campañas.

La primera aplicación es una versión modificada de un sencillo reproductor de vídeo de código abierto para Android que, al instalarse, muestra un vídeo para adultos como distracción. La segunda aplicación infectada se denomina “Aarogya Setu”, similar a la aplicación móvil de rastreo Covid-19 desarrollada por el Gobierno de la India. Una vez descargadas, ambas aplicaciones intentan instalar otro archivo Android: una versión modificada de la Herramienta de Acceso Remoto Android (RAT) AhMyth, un malware de código abierto descargable desde GitHub, que fue construido al vincular una carga útil maliciosa dentro de otras aplicaciones legítimas.

La versión modificada del malware es diferente en funcionalidad de la estándar. Incluye nuevas características añadidas por los atacantes para mejorar la exfiltración de datos, mientras que faltan algunas básicas, como el robo de imágenes de la cámara. La aplicación es capaz de descargar nuevas aplicaciones al teléfono, acceder a los mensajes SMS, al micrófono, a los registros de llamadas, rastrear la ubicación del dispositivo y enumerar y cargar archivos a un servidor externo desde el teléfono.

En el Portal de Inteligencia sobre Amenazas de Kaspersky se puede acceder a información detallada sobre este grupo.