Los expertos han descubierto decenas de aplicaciones falsas de Android distribuidas en las tiendas no oficiales.

Comenzando con un malware poco conocido, los investigadores de seguridad de ESET han descubierto un nuevo software espía. EL código malicioso es distribuido a través de aplicaciones Android de mensajería como Threema , Telegram y WeMessage.

El malware proviene de APT-C-23, un grupo de piratas informáticos experimentados. Han estado realizando campañas de espionaje contra instituciones militares y educativas desde julio de 2015.

La versión actualizada, descubierta a principios de este año, muestra una impresionante variedad de nuevas características. Permiten que el software espía descarte las notificaciones de los sistemas de seguridad. Debido a esto pueden operar sin detección. Funciona en los dispositivos Samsung, Xiaomi y Huawei.

Esconderse en aplicaciones falsas

En abril de 2020, los investigadores de seguridad MalwareHunterTeam escribieron en su cuenta de Twitter sobre el software espía para Android. Dijeron que tiene una tasa de detección muy baja en VirusTotal. Después de examinar la muestra, ESET descubrió que era parte de un conjunto de malware utilizado por los atacantes de APT-C-23.

Aproximadamente dos meses después, en junio, el equipo de MalwareHunterTeam descubrió una nueva muestra del mismo malware oculto en el archivo de instalación de Telegram Messenger disponible en DigitalApps, una tienda de aplicaciones de Android no oficial.

Dado que su solución de seguridad fue una de las pocas que logró encontrar nuevo software espía disponible públicamente de APT-C-23, ESET inició una investigación. Resultó que el malware también estaba oculto en otras aplicaciones de la tienda antes mencionada.

También lo encontraron en Threema, una plataforma de mensajería segura, y AndroidUpdate.

La víctima recibirá la funcionalidad completa de estas aplicaciones junto con el malware, ocultando así la naturaleza maliciosa de las aplicaciones falsas.

Tienda de alternativa de Play Market que tenía aplicaciones falsas con malware
La tienda de aplicaciones Android no oficial

Quizás en un intento por controlar la distribución de malware, los atacantes agregaron una puerta de enlace de descarga falsa, que requiere un código de seis dígitos.

ESET cree que la tienda DigitalApps es solo uno de los métodos de distribución que los atacantes utilizaron. Por otra parte, encontraron más aplicaciones que no estaban disponibles en la tienda pero que contenían el mismo software espía.

“En junio de 2020, los sistemas de ESET bloquearon este software espía en los dispositivos cliente en Israel. Las muestras de malware detectadas se disfrazaron como la aplicación de mensajería WeMessage”, dice ESET.

Sin embargo, la interfaz gráfica de la aplicación maliciosa es diferente de la original. Parece haber sido creada por un atacante, lo que indica que no estaba intentando hacerse pasar por el producto real.

Conjunto de funciones mejorado

APT-C-23 son conocidos por diferentes nombres (Big Bang APT, Two-tailed Scorpion) de otras empresas de ciberseguridad. El grupo está implementando malware para plataformas Windows (KasperAgent, Micropsia) y Android (GnatSpy, Vamp, FrozenCell)ю

En comparación con el software espía anterior para Android, la última versión de APT-C-23 extiende la funcionalidad más allá de las capacidades ya presentes. Estamos hablando de grabación de audio, robo de registros de llamadas, SMS, contactos y ciertos tipos de archivos (PDF, DOC, TXT, JPG, PNG etc).

La lista de funciones ahora incluye la capacidad de deshabilitar las notificaciones de las aplicaciones de seguridad integradas. Esto permite que el malware permanezca oculto incluso si se detecta su actividad.

Además, el software ahora puede leer notificaciones de aplicaciones de mensajería, robando efectivamente los mensajes entrantes y los códigos de acceso a la cuenta.

Un informe de análisis de VirusTotal
Resultados después de analizar el apk maliciosa

El software espía también puede grabar la pantalla (video e imagen) y las llamadas entrantes y salientes a través de WhatsApp. También puede realizar llamadas de forma encubierta creando una pantalla negra que simula un teléfono inactivo.

ESET ha publicado un documento técnico que detalla las nuevas funciones del software espía APT-C-23 mejorado. Contiene indicadores útiles para ayudarlo a identificar un dispositivo comprometido.