Esta variedad de malware roba los mensajes privados y los datos de ubicación a la vez que graba llamadas telefónicas. Así es el nuevo spyware para Android disfrazado de actualización del sistema.
Se trata de una cepa sofisticada de un malware capaz de robar datos de usuario de dispositivos Android infectados y que se hace pasar por una aplicación llamada «System Update».
La aplicación móvil, que funciona como un troyano de acceso remoto (RAT), es parte de una sofisticada campaña de software espía que tiene la capacidad de grabar audio desde los dispositivos. También es capaz de hacer fotos y acceder a los mensajes de WhatsApp, según los investifadores de Zimperium.
Así es el nuevo spyware para Android disfrazado de actualización del sistema
Una vez instalado, se registra como su propio servidor de comando y control (C&C) de Firebase, normalmente usado por desarrolladores de Android. También se instala como un segundo servicio C&C independiente, para enviar un caché de información inicial. Esto incluye información sobre si WhatsApp está instalado o no, porcentaje de batería, estadísticas de almacenamiento y otra información. Sólo se puede instalar desde una tienda de terceros, no desde la tienda de Google Play.
Después, el malware recibe comandos para iniciar diferentes acciones, como la grabación de audio desde el micrófono o la exfiltración de los datos. Los investigadores también han descubierto que el malware es capaz de inspeccionar datos de navegación web, robar imágenes y vídeos, monitorizar ubicaciones de GPS o robar contactos telefónicos. Además, también tiene capacidad para acceder a los registros de llamadas y extraer información del dispositivo.
El dispositivo también solicita permiso para habilitar los servicios de accesibilidad y se aprovecha de ello para recopilar conversaciones y detalles de mensajes de WhatsApp. Lo hace al observar el contenido de la pantalla después de detectar si el usuario está accediendo al servicio de mensajería.
El malware oculta el icono del menú principal del dispositivo en el cajón de aplicaciones, mientras tanto, también se hace pasar por la aplicación legítima de Actualización del sistema para evitar sospechas. Cuando la pantalla del dispositivo está apagada, el software espía crea una notificación de «búsqueda de actualizaciones» mediante el servicio de mensajería de Firebase. Esto le permite generar notificaciones automáticas.
La ocultación como su principal ventaja
La funcionalidad del software espía se activa bajo varias condiciones, incluso cuando se añade un nuevo contacto. También cuando se recibe un nuevo mensaje de texto o se instala una nueva aplicación. Lo hace explotando los receptores de Android, incluidos «contentObserver» y «Broadcast» que le permite la comunicación entre el dispositivo y el servidor.
El servicio de mensajería Firebase sólo se usa para iniciar funciones maliciosas, como la grabación de audio o la exfiltración de datos. Lo hace mediante el envío de comandos a los dispositivos infectados. Los datos en sí se recopilan después por el segundo servidor C&C dedicado.
El software espía también sólo recopila información actualizada, con una frecuencia de actualización de aproximadamente 5 minutos para los datos de ubicación y redes. Lo mismo se aplica a las fotos tomadas con la cámara del dispositivo, pero el valor crece hasta los 40 minutos.
Hasta ahora, los investigadores no han podido determinar quién está detrás de la campaña o si los piratas están tratando de apuntar a usuarios específicos. Dado que este software espía sólo se puede descargar desde fuera de Google Play, se recomienda encarecidamente a los usuarios que no descarguen nada externo.