Android Lipizzan

Con más frecuencia, los hackers están desarrollando nuevos malware que se enfocan en la extracción de información almacenada en nuestras redes sociales y apps de mensajería instantánea. La táctica tiene mucho sentido, pues son estas aplicaciones las que utilizamos para enviar y recibir información privada hoy en día. Precisamente, un nuevo malware llamado Lipizzan se enfoca en espiar al usuario recolectando toda la información de las aplicaciones que el usuario utiliza para comunicarse en sus smartphones con Android.

Descubierta y bloqueada por el equipo de Google, Lipizzan es un spyware muy sofisticado que puede extraer los mensajes que enviamos y recibimos a través de las aplicaciones de mensajería instantánea como KakaoTalk, Hangouts, Messenger, Viber y Whatsapp, así como también recopilar todos los emails alojados en la aplicación de Gmail. Pero Lipizzan no se detiene en recopilar mensajes de texto, es capaz de extraer información de nuestros contactos, escuchar y grabar nuestras llamadas a través de apps VoIP, tomar una captura de pantalla, grabar audio y vídeo con las cámaras de nuestro smartphone y enviar la localización del mismo.

Desde Google han explicado que Lipizzan es compatible con todas estas aplicaciones, lo que significa que las vigila de forma constante para sustraer datos:

  • Gmail
  • Hangouts
  • KakaoTalk
  • LinkedIn
  • Messenger
  • Skype
  • Snapchat
  • StockEmail
  • Telegram
  • Threema
  • Viber
  • Whatsapp

El reporte de Google también explica que al menos 100 dispositivos han sido infectados con este spyware, y que la mayoría de las víctimas eran objetivos específicos. De momento no se ha encontrado una relación entre las víctimas que explique porque los hackers decidieron atacarlos. La única referencia encontrada en el código de las muestras obtenidos de Lipizzan, apuntan hacia Equus Technologies, una empresa que se encarga del desarrollo de ciberarmas.

Como método para distribuir Lipizzan, los hackers infectaron aplicaciones oficiales distribuidas en la Google Play Store. Estas pasaron el filtro porque no Lipizzan no infecta a su objetivo hasta que ha sido descargada en un dispositivo y el usuario acepta una segunda verificación de licencia que inspecciona el dispositivo para conocer si esta rooteado y así, conectarlo a un servidor C&C. Toda la información que Lipizzan recolecta es encriptada y enviada a los hackers a través de una conexión segura.

Si bien se desconocen las aplicaciones que estaban infectadas, Google ha logrado eliminarlas de la Play Store. Recomiendan además al usuario, que descarguen aplicaciones a través de su tienda oficial para reducir el chance de instalar una aplicación maliciosa. Ayer casualmente comentábamos como una tienda de apps en Turquía había sido utilizada para infectar a millones de usuarios.