Nuevo malware de Android registra secretamente llamadas telefónicas y roba datos privados
Investigadores de seguridad de Cisco Talos descubrieron variantes de un nuevo troyano de Android que está siendo distribuido de forma desenfrenada como una falsa aplicación de antivirus, llamada “Naver Defender”.
El malware, denominado KeverDroid, es una herramienta de administración remota (RAT) diseñada para robar información sensible desde dispositivos Android comprometidos, además es capaz de registrar llamadas telefónicas.
Los investigadores de Talos publicaron el lunes detalles técnicos sobre dos variantes recientes de KevDroid detectadas en distribución en la red, siguiendo el descubrimiento inicial del Troyano por la firma de seguridad ETSecurity de Corea del Sur dos semanas atrás.
Aunque los investigadores no han atribuido el malware a algún grupo de hacking patrocinado por un estado, Corea del Sur ha vinculado a KevDroid con un ciber espionaje del grupo de hacking “Group 123” patrocinado por Corea del Norte, principalmente conocido por tener como objetivo a Corea del Sur.
La más reciente variedad del malware KevDroid, detectada en marzo de este año, tiene las siguientes capacidades:
- Grabar llamadas telefónicas y audio
- Robar historial web y archivos
- Ganar acceso a nivel de root
- Robar registros de llamadas, SMS y correos electrónicos
- Obtener la ubicación del dispositivo cada 10 segundos
- Obtener una lista de aplicaciones instaladas
El malware usa una biblioteca de código abierto, disponible en GitHub, para tener la capacidad de registrar llamadas entrantes y salientes desde el dispositivo Android comprometido.
Aunque ambas muestras de malware tienen las mismas capacidades de robar la información y grabar las llamadas telefónicas de la víctima, una variante incluso explota una vulnerabilidad conocida de Android (CVE-2015-3636) para obtener acceso a nivel de root en el dispositivo comprometido.
Todo dato robado es enviado al servidor de comando y control (C2) del atacante, alojado en PubNub global Data Stream Network, usando una solicitud HTTP POST.
“Si un adversario obtiene exitosamente alguna de la información que KevDroid es capaz de recolectar, este podría resultar en múltiples problemas a la víctima”, resultando en “la fuga de información, que podría conducir a una serie de cosas, como el secuestro de un ser querido, chantajes usando imágenes o información considerada secreta, recolección de credenciales, acceso a tokens multifactor (SMS MFA), implicaciones bancarias o financieras y acceso a información privilegiada, tal vez a través de correos o textos”, dice Talos.
“Muchos usuarios acceden a correo electrónico corporativo a través de sus dispositivos móviles. Esto podría resultar en que el ciber espionaje sea un resultado potencial para KevDroid”
Los investigadores además descubrieron otro RAT, diseñado para los usuarios de Windows, compartiendo el mismo servidor C&C y que también usa PubNub API para enviar comandos a los dispositivos comprometidos.
Cómo mantener tu smartphone seguro
Se recomienda a los usuarios de Android verificar regularmente las aplicaciones instaladas en sus dispositivos para buscar si existe en la lista alguna aplicación maliciosa, desconocida o no necesaria que fue instalada sin su conocimiento o consentimiento, para después removerla.
Como el malware de Android puede infectar sus dispositivos, si posee un dispositivo Android, se le recomienda seguir estos pasos simples para ayudar a evitar que esto suceda:
- Nunca instalar aplicaciones de tiendas de terceros.
- Asegurarse de que ya se haya optado por Google Play Protect.
- Habilitar la característica "verify apps" en la configuración.
- Mantener “Orígenes desconocidos” deshabilitado mientras no se use.
- Instalar antivirus y software de seguridad de un vendedor de seguridad conocido.
- Hacer respaldos del teléfono regularmente.
- Siempre usar aplicaciones de cifrado para proteger cualquier información sensible en el teléfono.
- Nunca abrir documentos que no se esperan, inclusive si parece ser de alguien conocido.
- Proteger los dispositivos con un bloqueo de pin o contraseña para que nadie pueda obtener acceso al dispositivo cuando se encuentre desatendido.
- Mantener el dispositivo siempre actualizado con los últimos parches de seguridad.
Articulos relacionados.