El Grupo APT‑C‑23 Amplía Las Capacidades De Su Spyware Para Android
El grupo APT-C-23 es conocido por haber utilizado componentes de Windows y Android en sus operaciones, y los componentes de Android se describieron por primera vez en 2017. Ese mismo año se publicaron varios análisis del malware para dispositivos móviles del grupo.
En comparación con las versiones documentadas en 2017, Android/SpyC23.A tiene funcionalidades de espionaje más extendidas, que incluyen la lectura de notificaciones de aplicaciones de mensajería, grabación de llamadas y de pantalla, y nuevas funciones para permanecer oculto, como descartar notificaciones de aplicaciones de seguridad integradas a Android. Una de las formas en que se distribuye el spyware es utilizando como señuelo apps conocidas a través de una falsa tienda de aplicaciones para Android.
Cronología y descubrimiento
Las actividades de este grupo fueron descritas por primera vez en marzo de 2017 por la compañía Qihoo 360 Technology bajo el nombre de Two-tailed Scorpion, que en español significa "escorpión de dos colas". Ese mismo año, Palo Alto Networks, Lookout y Trend Micro describieron otras versiones del malware para móviles, que fueron denominadas VAMP, FrozenCell y GnatSpy, respectivamente. En abril de 2018 Lookout publicó un análisis de otra versión del malware, llamada Desert Scorpion, mientras que a principios de 2020 Check Point informó sobre nuevos ataques de malware para móviles atribuidos al grupo APT-C-23.En abril de 2020, MalwareHunterTeam publicó en Twitter el hallazgo de una nueva muestra de malware para Android. Según el servicio VirusTotal, ningún proveedor de seguridad además de ESET detectó la muestra en ese momento. En cooperación con MalwrHunterTeam, reconocimos que el malware es parte del arsenal de APT-C-23.
En junio de 2020, MalwareHunterTeam tuiteó sobre otra muestra de malware para Android poco detectada, que resultó estar relacionada con la muestra de abril. Un análisis más profundo mostró que los descubrimientos de abril y junio eran variantes del mismo -y nuevo- malware para Android utilizado por el grupo APT-C-23.
Entre las nuevas funcionalidades de esta nueva versión podemos destacar:- Leer notificaciones de aplicaciones de mensajería y redes sociales como WhatsApp, Telegram, Skype, Viber, Imo, Facebook o Instagram.
- Grabación de pantalla y realizar capturas de la misma.
- Grabación de llamadas entrantes y salientes de aplicaciones como WhatsApp.
- Realizar llamadas telefónicas mientras se superpone una pantalla por encima para ocultar que se está llamando.
- Descartar notificaciones de aplicaciones de seguridad de SecurityLogAgent, MIUI o Huawei Phone Manager.Para no levantar sospechas por el alto número de permisos solicitados en la instalación, el malware se oculta bajo el nombre de aplicaciones de mensajería conocidas, como weMessage o Telegram. En algunos casos como el de weMessage, el malware no tenía ninguna funcionalidad real, guiando al usuario en la instalación de la aplicación fidedigna mientras el malware se oculta en el dispositivo.
Fuente: WeLiveSecurity
Via: feedproxy.google.com