Estas son las aplicaciones de Android (publicadas en Google Play) maliciosas que recientemente fueron detectadas: Camero , FileCrypt y callCam que se cree que están vinculadas a Sidewinder APT, un sofisticado grupo de piratería especializado en ataques de ciberespionaje.
Según los investigadores de seguridad de Trend Micro, estas aplicaciones estaban explotando una vulnerabilidad crítica que fue descubierta hace poco por un investigador de seguridad de Google, cuando hace analisis de unos ataques del grupo de vigilancia israelí NSO Group. Se estima que la vulnerabilidad fue explotada cerca de 7 meses antes que fuera detectada por Google
"Especulamos que estas aplicaciones han estado activas desde marzo de 2019 en función de la información del certificado en una de las aplicaciones", dijeron los investigadores .
Rastreado como CVE-2019-2215 , la vulnerabilidad es un problema de escalada de privilegios locales que permite el compromiso total de la raíz de un dispositivo vulnerable y también podría explotarse de forma remota cuando se combina con un defecto de representación del navegador separado.
Este spyware rootea en secreto su teléfono Android
Según Trend Micro, FileCrypt Manager y Camero actúan como cuentagotas y se conectan a un servidor de comando y control remoto para descargar un archivo DEX, que luego descarga la aplicación callCam e intenta instalarla aprovechando las vulnerabilidades de escalada de privilegios o abusando de la función de accesibilidad.
Todo esto se realiza sin la conciencia o intervención del usuario. Para evadir la detección, utiliza muchas técnicas como la ofuscación, el cifrado de datos y la invocación de código dinámico", dijeron los investigadores.
Una vez instalada, la callCam oculta su ícono del menú, recopila la siguiente información del dispositivo comprometido y la envía de vuelta al servidor C&C del atacante en segundo plano:
- Ubicación
- Estado de la batería
- Archivos en el dispositivo
- Lista de aplicaciones instaladas
- Información del dispositivo
- Información del sensor
- Información de la cámara
- Captura de pantalla
- Cuenta
- Información wifi
- Datos de WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail y Chrome.
Además de CVE-2019-2215, las aplicaciones maliciosas también intentan aprovechar una vulnerabilidad separada en el controlador MediaTek-SU para obtener el privilegio de root y permanecer persistente en una amplia gama de teléfonos Android.
Sobre la base de la superposición en la ubicación de los servidores de comando y control, los investigadores atribuyeron la campaña a SideWinder, que se cree que es un grupo de espionaje indio que históricamente apuntó a organizaciones vinculadas con el ejército paquistaní.
Cómo proteger el teléfono Android del malware
Google ahora ha eliminado todas las aplicaciones maliciosas mencionadas anteriormente de Play Store, pero dado que los sistemas de Google no son suficientes para mantener las aplicaciones malas fuera de la tienda oficial, debe tener mucho cuidado al descargar aplicaciones.
Para verificar si su dispositivo está infectado con este malware, vaya a la configuración del sistema Android → Administrador de aplicaciones, busque los nombres de paquete enumerados y desinstálelo.
Para proteger su dispositivo contra la mayoría de las amenazas , se recomienda que tome precauciones simples pero efectivas como:
- mantener actualizados los dispositivos y las aplicaciones,
- evitar descargas de aplicaciones de fuentes desconocidas,
- siempre preste mucha atención a los permisos solicitados por las aplicaciones,
- respaldar datos con frecuencia, y
- instale una buena aplicación antivirus que proteja contra este malware y amenazas similares.
Para evitar que estas aplicaciones te ataquen, ten cuidado con las aplicaciones sospechosas, incluso cuando las descargues de Google Play Store, y trata de mantenerte solo en las marcas confiables. Además, siempre mire las revisiones de la aplicación dejadas por otros usuarios que la hayan descargado, y también verifique los permisos de la aplicación antes de instalar cualquier aplicación y otorgue solo los permisos que sean relevantes para el propósito de la aplicación.
