Nueva versión de spyware en Android utilizada por el grupo de delincuentes APT-C-23

El nuevo  malware, detectado por los productos de ESET como Android/SpyC23.A, está diseñado sobre otras versiones  de spyware con funcionalidades extendidas de espionaje, nuevas funcionalidades de ocultación y una  comunicación actualizada con el servidor de mando y control. Una de las maneras en las que el grupo APT-C 23, activo desde 2017 y conocido por sus ataques a organizaciones en Oriente Medio, distribuye este spyware  es a través de aplicaciones falsas de mensajería como Threema o Telegram desde una tienda falsa de  aplicaciones para Android.  

Los investigadores de ESET comenzaron a analizar este malware a partir de un tweet publicado el pasado mes  de abril por un investigador y en el que se hablaba de una muestra de malware para Android desconocida y  poco detectada. “Colaboramos en un análisis que demostró que este malware era parte de una versión nueva  y mejorada del spyware móvil que utiliza el grupo APT-C-23”, explica Lukas Stefanko, el investigador de ESET  que ha analizado Android/SpyC23.A. 

El spyware se ocultaba como una aplicación aparentemente legítima en una tienda falsa de aplicaciones para  Android. “Cuando analizamos la tienda falsa, encontramos aplicaciones legítimas y otras maliciosas. El  malware se escondía en aplicaciones que se hacían pasar por Telegram, Threema y AndroidUpdate. En  algunos casos, las víctimas acababan instalando tanto el malware como la aplicación falsa”, continúa  Stefanko.  

Una vez instalado, el malware solicitaba una serie de permisos sensibles, disfrazados de funciones de  privacidad y seguridad. “Los atacantes utilizan técnicas similares a las que se usan en ingeniería social para  engañar a las víctimas intentando que estas otorguen privilegios sensibles, como permisos para leer las  notificaciones camuflados como una funcionalidad de cifrado de mensajes”, detalla Stefanko. Una vez  iniciado, el malware puede llevar a cabo una serie de actividades de espionaje basadas en los comandos recibidos desde su servidor de mando y control, como grabar audios, extraer registros de llamadas, mensajes  SMS o contactos, robar archivos o incluso leer notificaciones de las aplicaciones de mensajería, grabar  llamadas o la pantalla y eliminar notificaciones de las aplicaciones de seguridad incluidas en Android. La  comunicación del malware también se ha mejorado, dificultando la identificación por parte de los expertos  en seguridad.  

El grupo APT-C-23 es conocido por haber utilizado componentes de Android y de Windows en sus  operaciones. La primera vez que se descubrió a este grupo fue en 2017 y desde entonces se han publicado  numerosos análisis de su malware móvil. Android/SpyC23.A es solamente la última versión de su spyware e  incorpora diferentes mejoras que lo hacen aún más peligroso que las operaciones anteriores.