imágenes falsas
Los investigadores han descubierto una nueva pieza avanzada de malware de Android que encuentra información confidencial almacenada en dispositivos infectados y la envía a servidores controlados por atacantes.
La aplicación se disfraza como una actualización del sistema que debe descargarse de una tienda de terceros, según investigadores de la firma de seguridad Zimperium. dicho el viernes. De hecho, es un troyano de acceso remoto que recibe y ejecuta comandos desde un servidor de comando y control. Proporciona una plataforma de espionaje con todas las funciones que realiza una amplia gama de actividades maliciosas.
Sopa de nueces
Zimperium enumeró las siguientes capacidades:
- Robar mensajes de mensajería instantánea
- Robar archivos de base de datos de mensajería instantánea (si la raíz está disponible)
- Inspeccionar los marcadores y las búsquedas del navegador predeterminado
- Inspeccionar el historial de marcadores y búsqueda de Google Chrome, Mozilla Firefox y el navegador de Internet Samsung
- Búsqueda de archivos con extensiones específicas (incluidos .pdf, .doc, .docx y .xls, .xlsx)
- Inspeccionar los datos del portapapeles
- Inspeccionar el contenido de las notificaciones
- Grabando audio
- Grabación de llamadas telefónicas
- Tome fotografías periódicamente (ya sea a través de la cámara frontal o trasera)
- Listado de las aplicaciones instaladas
- Robar imágenes y videos
- Monitoreo de la ubicación GPS
- Robar mensajes SMS
- Robar contactos telefónicos
- Robar registros de llamadas
- Extraer información del dispositivo (por ejemplo, aplicaciones instaladas, nombre del dispositivo, estadísticas de almacenamiento)
- Ocultar su presencia ocultando el icono del cajón / menú del dispositivo
Las aplicaciones de mensajería que son vulnerables al robo de bases de datos incluyen WhatsApp, que usan miles de millones de personas, a menudo con la expectativa de que brinde mayor confidencialidad que otros mensajeros. Como se señaló, solo se puede acceder a las bases de datos si el malware tiene acceso de root al dispositivo infectado. Los piratas informáticos pueden rootear los dispositivos infectados cuando ejecutan versiones anteriores de Android.
Si la aplicación maliciosa no adquiere la raíz, aún puede recopilar conversaciones y detalles de mensajes de WhatsApp engañando a los usuarios para que habiliten los servicios de accesibilidad de Android. Los servicios de accesibilidad son controles integrados en el sistema operativo que facilitan a los usuarios con problemas de visión u otras discapacidades el uso de dispositivos, por ejemplo, modificando la pantalla o haciendo que el dispositivo proporcione comentarios hablados. Una vez que los servicios de accesibilidad están habilitados, la aplicación maliciosa puede raspar el contenido de la pantalla de WhatsApp.
Otra capacidad es robar archivos almacenados en el almacenamiento externo de un dispositivo. Para reducir el consumo de ancho de banda que podría alertar a la víctima de que un dispositivo está infectado, la aplicación maliciosa roba miniaturas de imágenes, que son mucho más pequeñas que las imágenes a las que corresponden. Cuando un dispositivo está conectado a Wi-Fi, el malware envía datos robados de todas las carpetas a los atacantes. Cuando solo hay una conexión móvil disponible, el malware envía un conjunto de datos más limitado.
Por más completa que sea la plataforma de espionaje, tiene una limitación clave, a saber, la incapacidad de infectar dispositivos sin engañar primero a los usuarios para que tomen decisiones que las personas más experimentadas saben que no son seguras. Primero, los usuarios deben descargar la aplicación de una fuente de terceros. Por problemático que sea la Play Store de Google, generalmente es un lugar más confiable para obtener aplicaciones. Los usuarios también deben tener una ingeniería social para habilitar los servicios de accesibilidad para que funcionen algunas de las características avanzadas.
Google se negó a comentar, excepto para reiterar que el malware nunca estuvo disponible en Play.