Hace poco se descubrió un nuevo malware Android. Este posee la misma infraestructura de alojamiento compartido que el grupo APT ruso conocido como Turla. Sin embargo, muchos investigadores consideran que no es posible atribuir este malware a dicho grupo de hackers rusos.
Turla es un grupo de hackers que está respaldado por el estado ruso. Estos ciberdelincuentes también son conocidos por usar malware personalizado al momento de atacar sistemas europeos o estadounidenses, sobre todo para realizar espionaje.
De hecho, ese grupo de cibercriminales fue vinculado de forma reciente con la puerta trasera Sunburst, la cual fue utilizada en el ataque a la cadena de suministro de SolarWinds en diciembre de 2020.
Lo que se sabe sobre el nuevo malware de Android
Una investigación realizada por el grupo de Lab52 logró identificar una APK maliciosa llamada “Process Manager”. Esta actúa como spyware de Android, pues le brinda información del dispositivo a los cibercriminales.
Todavía no se sabe cómo se distribuye este malware. Sin embargo, una vez instalado, Process Manager intenta ocultarse en el dispositivo Android a través de un ícono en forma de engranaje, que lo hace simular ser un componente del sistema.
Y, luego de su primer lanzamiento, el nuevo malware de Android le solicita al usuario que le permita acceder a los siguientes 18 permisos:
- Acceder a la ubicación aproximada
- Acceso a buena ubicación
- Estado de la red de acceso
- Acceder al estado WiFi
- Cámara
- Servicio de primer plano
- Internet
- Grabar audio
- Modificar la configuración de audio
- Leer registro de llamadas
- Leer contactos
- Leer almacenamiento externo
- Escribir almacenamiento externo
- Leer estado del teléfono
- Leer SMS
- Recibir arranque completado
- Enviar SMS
- Registro de activación
Tales permisos representan un gran riesgo para la privacidad, ya que permiten que la aplicación obtenga la ubicación del dispositivo, lea mensajes de texto, acceda al almacenamiento, tome fotografías con la cámara y grabe audio.
Todavía no se sabe mucho sobre el método de distribución del malware
Pese a ello, todavía no está muy claro lo siguiente: ¿el malware abusa del servicio de accesibilidad de Android para otorgar permisos o engaña al usuario para que apruebe una solicitud?
¿Y qué sucede después de brindar los permisos al malware? Pues el software espía elimina su icono y empieza a ejecutarse en segundo plano, con solo una notificación permanente que indica su presencia.
Dicho rastro es bastante extraño para un software espía, debido a que normalmente estos se esfuerzan por permanecer ocultos de la víctima, especialmente si es obra de un grupo APT (amenaza persistente avanzada) sofisticado.
Y por último, la información recopilada del dispositivo de la víctima (listas, registros, SMS, grabaciones y notificaciones de eventos) se envía en formato JSON al servidor de comando y control en 82.146.35[.]240, que se encuentra en Rusia.
Se desconoce el método de distribución de la APK. Pero, si se trata del grupo Turla, estos suelen usar ingeniería social, phishing, ataques de pozos de agua, etc., por lo que podría ser cualquier cosa.
El malware hace cargas adicionales útiles a los dispositivos
El equipo de investigadores también hizo otro descubrimiento interesante sobre el nuevo malware. Y fue el siguiente: este descarga cargas útiles adicionales a los dispositivos. Hasta encontraron un caso de una aplicación obtenida directamente de la Play Store.
La aplicación se llama “Roz Dhan: Earn Wallet cash” y es una app popular (10 000 000 de descargas) que presenta un sistema de referencia que genera dinero.
De acuerdo con Lab52, el spyware descarga la APK a través del sistema de referencia de la aplicación, lo que probablemente genere una comisión. Ello es algo extraño, dado que el actor en particular se centra en el espionaje cibernético.
Tal evidencia, sumada a la implementación poco sofisticada del software espía de Android, hace pensar que el C2 analizado por Lab52 puede ser parte de una infraestructura compartida.
En conclusión, y debido a la baja sofisticación de las capacidades de amenaza del malware y el uso de la monetización basada en referencias, los investigadores no creen que esto sea obra del grupo Turla.
Esto fue lo que comentaron los investigadores de Lab52: “Entonces, en este informe, queremos compartir nuestro análisis sobre las capacidades de esta pieza de malware, aunque la atribución a Turla no parece posible dadas sus capacidades de amenaza”.
Gracias a la aparición de este malware, te aconsejamos siempre revisar con cuidado cada uno de los permisos que te solicite una aplicación. Si la aplicación no es de fotografías, ¿por qué deberías permitirle tomar fotos? O, si es de fotografía solamente, ¿por qué debes permitirle acceder a tus mensajes de texto? Recuerda que una aplicación no debe solicitar tantos permisos. Siempre está alerta,sobre todo si se trata de una app de terceros.