Una campaña de espionaje cibernético recién descubierta se ha dirigido a usuarios de Android en los países del Medio Oriente con malware diseñado para robar una amplia gama de datos de dispositivos infectados. Hasta ahora, los investigadores de Trend Micro, quienes descubrieron la operación, han observado más de 660 dispositivos Android infectados y gran parte de la información que se roba parece estar relacionada con el ejército.
En la nueva campaña, que ha sido denominada "Bouncing Golf" basada en el código del malware en el paquete llamado "golf", los atacantes infectan los dispositivos de las víctimas con el malware altamente invasivo GolfSpy que se oculta dentro de aplicaciones que una vez fueron legítimas y que se han vuelto a empaquetar. para contener código malicioso. Las aplicaciones reenvasadas incluyen las aplicaciones de mensajería Kik, Imo, Plus Messenger, Telegram, Signal y WhatsApp Business, así como varias aplicaciones de estilo de vida, libros y referencias que son populares entre los del Medio Oriente.
En lugar de alojar aplicaciones cargadas de malware en Google Play o en mercados populares de aplicaciones de terceros, los operadores de la campaña están distribuyendo las aplicaciones a través del sitio web, que se promociona en las redes sociales.
El software malicioso GolfSpy puede robar una gran cantidad de información, incluidas cuentas de dispositivos, listas de aplicaciones instaladas, procesos en ejecución, estado de la batería, marcadores e historias del navegador predeterminado, registros y registros de llamadas, contenido del portapapeles, contactos (incluidos aquellos en formato VCard). ), información del operador móvil, archivos almacenados en una tarjeta SD, ubicación del dispositivo, información de almacenamiento y memoria, información de conexión, información del sensor, mensajes SMS, imágenes y listas de archivos de imagen, audio y video almacenados.
Además, GolfSpy puede ejecutar comandos utilizados para fines de espionaje cibernético, como buscar, listar, eliminar y renombrar archivos, así como descargar un archivo y recuperar un archivo del dispositivo; tomando capturas de pantalla; instalando otros paquetes de aplicaciones (APK); grabación de audio y video; y actualizando el malware.
Los operadores de campaña también intentan cubrir su actividad. Por ejemplo, se ocultaron los detalles de contacto del solicitante de los dominios de C&C utilizados en la campaña. Las direcciones IP del servidor de C&C también parecen ser dispares, ya que estaban ubicadas en muchos países europeos como Rusia, Francia, los Países Bajos y Alemania.
Los expertos también señalan que la campaña "Bouncing Golf" podría estar relacionada con una campaña de espionaje cibernético móvil informada anteriormente llamada "Domestic Kitten", que los investigadores de seguridad han atribuido a los actores estatales iraníes y se sabe que está dirigida a los iraníes, así como a los kurdos. y nativos urdu, partidarios de ISIS y ciudadanos yemeníes. Según Trend Micro, las operaciones "Bouncing Golf" y "Domestic Kitten" comparten las mismas cadenas de código para su algoritmo de decodificación, ambas campañas vuelven a empaquetar las aplicaciones que se usan comúnmente en los países de sus objetivos y ambas organizan sus datos robados utilizando caracteres identificadores únicos.
IOC --> TrendMicro
