Expertos en seguridad han descubierto un nuevo malware de robo de datos disfrazado como una aplicación legítima de respaldo en Google Play.

La aplicación Save Me dice ser capaz de guardar los contactos de un usuario y próximamente otros datos, incluyendo fotos y videos, en el caso de que un dispositivo móvil se pierda o sea robado, según el proveedor de seguridad móvil Lookout.

No obstante, la aplicación contiene una variante del malware SocialPath cuyo principal objetivo es el robo de información, explicó en un blog el administrador de seguridad de la firma, Jeremy Linden.

SocialPath se distribuye principalmente a través de correo no deseado, Twitter, WhatsApp y otras plataformas sociales mediante mensajes de ingeniería social diseñados para animar a los usuarios a hacer clic en un enlace de descarga. Aparentemente utiliza el señuelo: "Encontré tus fotos privadas aquí [enlace]. Da clic para ver."

Si un usuario comete el error de hacer clic, el servicio solicitará información al dispositivo, incluyendo nombre, correo electrónico, número de teléfono e incluso una foto del usuario, antes de conectarse a un servidor de comando y control (C&C) y filtrar éstos y otros datos del dispositivo, explicó Linden. Incluidos los contactos, mensajes de texto, registros de llamadas y la información del dispositivo.

Aunque un logotipo aparece en la pantalla del teléfono durante el proceso de registro, éste se desvanece una vez que el proceso se haya completado, permitiendo así que el software malicioso esté oculto en el aparato.

"Curiosamente, también tiene la capacidad de llamar a cualquier número designado por el C&C y automáticamente colgar la llamada de acuerdo con un temporizador", añadió Linden.

"No estamos seguros de que los autores utilicen esta funcionalidad, pero hemos visto tácticas donde utilizan malware llamando a números de tarifa adicional para cobrar las tarifas asociadas y ganar dinero. Inmediatamente, el malware elimina los registros de llamadas con el fin de ocultar sus actividades".

Con base en el código, existen indicios de que los atacantes son de habla árabe, ya que la mayoría de los enlaces maliciosos asociados son almacenados en servidores de Líbano (29%), Sudán (19%) y Omán (11%).

Google ha eliminado Save Me de su tienda después de haber sido contactado por Lookout. Sin embargo, la motivación para la campaña de malware (espionaje político, phishing, obtención de ganancias o algo más) sigue siendo desconocida.

SocialPath también se ha detectado disfrazado como una herramienta de gestión de la reputación en línea, afirmó Lookout.

Thomas Labarte, director general europeo en Lookout, explicó que el malware como Bazuc y BadNews fue distribuido en Google Play varias veces en 2014.

"Google es una empresa muy innovadora que empuja continuamente los límites de la tecnología en línea", dijo a Infosecurity. "Sin embargo, mientras que la seguridad es claramente una prioridad para Google, no es su principal competencia o enfoque."