8 Shares 822 Views 1 Comments

Un nuevo spyware para Android se disfraza de apps porno y de rastreo de COVID-19

29 septiembre, 2020
8 Compartido 822 Visualizaciones 1

Los investigadores de Kaspersky han dado a conocer sus hallazgos sobre un nuevo spyware para Android distribuido por el grupo de APT Transparent Tribe en la India bajo el disfraz de contenido para adultos y aplicaciones oficiales de COVID-19, lo que refleja la tendencia del grupo a ampliar sus operaciones e infectar dispositivos móviles. Esta y otras conclusiones se comunicaron en la segunda parte de una investigación sobre dicho actor de amenazas.

La pandemia se ha convertido en una temática habitual para los actores de amenazas, que han lanzado ataques de ingeniería social que aún hoy siguen siendo relevantes. Transparent Tribe, un actor de amenazas rastreado por Kaspersky durante más de cuatro años, también ha adoptado este tema en sus campañas.

Los hallazgos más recientes muestran que el grupo ha estado trabajando activamente en la mejora de sus herramientas y en su alcance para incluir amenazas a dispositivos móviles. Durante la investigación sobre Transparent Tribe, Kaspersky encontró un implante de Android utilizado para espiar los dispositivos móviles en los ataques que distribuyó en la India aprovechando las aplicaciones falsas de rastreo de COVID-19 y de pornografía. La conexión entre el grupo y las dos aplicaciones se realizó gracias a los dominios relacionados que el actor utilizó para alojar archivos maliciosos para diferentes campañas.

La primera aplicación es una versión modificada de un sencillo reproductor de vídeo de código abierto para Android que, al instalarse, muestra un vídeo para adultos como distracción. La segunda aplicación infectada se denomina «Aarogya Setu«, similar a la aplicación móvil de rastreo COVID-19 desarrollada por el Centro Nacional de Informática del Gobierno de la India, que depende del Ministerio de Electrónica y Tecnología de la Información.

Una vez descargadas, ambas aplicaciones intentan instalar otro archivo Android – una versión modificada de la Herramienta de Acceso Remoto Android (RAT) AhMyth – un malware de código abierto descargable desde GitHub, que fue construido al vincular una carga útil maliciosa dentro de otras aplicaciones legítimas. 

La versión modificada del malware es diferente en funcionalidad de la estándar. Incluye nuevas características añadidas por los atacantes para mejorar la exfiltración de datos, mientras que faltan algunas básicas, como el robo de imágenes de la cámara. La aplicación es capaz de descargar nuevas aplicaciones al teléfono, acceder a los mensajes SMS, al micrófono, a los registros de llamadas, rastrear la ubicación del dispositivo y enumerar y cargar archivos a un servidor externo desde el teléfono.

«Los nuevos hallazgos subrayan los esfuerzos de los miembros de Transparent Tribe por añadir nuevas herramientas que amplíen aún más sus operaciones y lleguen a sus víctimas a través de diferentes vectores de ataque, que ahora incluyen los dispositivos móviles. También vemos que el actor trabaja constantemente en la mejora y modificación de las herramientas que utiliza. Para mantenerse protegidos de esas amenazas, los usuarios deben ser más cuidadosos que nunca al evaluar las fuentes de las que descargan el contenido y asegurarse de que sus dispositivos son seguros. Esto es especialmente relevante para aquellos que saben que pueden convertirse en objetivo de un ataque APT«, comenta Giampaolo Dedola, investigador principal de seguridad del Equipo de Investigación y Análisis Global de Kaspersky. 

En el Portal de Inteligencia sobre Amenazas de Kaspersky se puede acceder a información detallada sobre los indicadores de compromiso relacionados con este grupo, incluidos los hashes de archivos y servidores C2.

Para protegerse de la amenaza, Kaspersky recomienda tomar las siguientes medidas de seguridad:

  • Proporcione a su equipo SOC acceso a la última información sobre amenazas. El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto de acceso único para las TI de la compañía, ya que proporciona datos de ciberataques e información recopilada por Kaspersky durante más de 20 años. 
  • Asegúrese de que su solución de seguridad del endpoint proporciona protección para los dispositivos móviles. Kaspersky Endpoint Security for Business garantiza la protección contra el malware móvil y asegura que sólo las aplicaciones de confianza se puedan utilizar en los dispositivos corporativos.
  • Asegúrese de que sus empleados conozcan los fundamentos sobre seguridad de los dispositivos móviles mediante un curso de formación y concienciación sobre seguridad que cubra dichos temas como, por ejemplo, Kaspersky Adaptive Online Training. 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Nuevo proyecto de OnRetrieval para proteger y reducir los delitos informáticos
Soluciones Seguridad
25 compartido1,004 visualizaciones
Soluciones Seguridad
25 compartido1,004 visualizaciones

Nuevo proyecto de OnRetrieval para proteger y reducir los delitos informáticos

José Luis - 21 febrero, 2018

La empresa española de recuperación de datos e informática forense, apuesta por la Ciberseguridad como factor clave del desarrollo tecnológico.…

Wayra entra en la ronda de financiación de Kymatio junto a The Crowd Angel
Actualidad
7 compartido1,201 visualizaciones
Actualidad
7 compartido1,201 visualizaciones

Wayra entra en la ronda de financiación de Kymatio junto a The Crowd Angel

Aina Pou Rodríguez - 14 abril, 2020

Kymatio identifica, analiza, evalúa y proporciona todo lo necesario para tratar los riesgos internos de origen humano de seguridad de…

CISO Face2Face: pyme VS gran empresa
Actualidad
29 compartido2,891 visualizaciones
Actualidad
29 compartido2,891 visualizaciones

CISO Face2Face: pyme VS gran empresa

Vicente Ramírez - 18 junio, 2019

Durante la primera edición de CISO Day celebrada el pasado miércoles, vivimos un momento muy interesante en el que el…

Un comentario

  1. Es muy bueno estas explicaciones y aclaraciones sobre estos temas de seguridad cada dia hay mas ataques y son mas sostificados saludos a todos

    Reply

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.