Insertan malware en aplicaciones legítimas para espiar a usuarios del medio oriente



Apodado "ViceLeaker" por los investigadores de Kaspersky, la campaña se encontró recientemente en los ciudadanos israelíes y en algunos otros países del Medio Oriente con un poderoso malware de vigilancia diseñado para robar casi toda la información accesible, incluidas grabaciones de llamadas, mensajes de texto, fotos, videos y ubicación. Datos: todo sin el conocimiento de los usuarios.
Además de estas funcionalidades de espionaje tradicionales, el malware también tiene capacidades de puerta trasera que incluyen cargar, descargar y eliminar archivos, grabar audio circundante, cámaras de toma de control y hacer llamadas o enviar mensajes a números específicos.

El malware utilizado en estas campañas se denominó "Triout" en un informe publicado por Bitdefender en 2018, que es una especie de marco de malware que los atacantes están utilizando para convertir aplicaciones legítimas en spyware al inyectarles una carga útil maliciosa adicional.
En un nuevo informe publicado hoy, Kaspersky Lab reveló que los atacantes están utilizando activamente la herramienta Baksmali para desensamblar y luego volver a ensamblar el código de una aplicación legítima después de inyectar su código malicioso, una técnica comúnmente conocida como inyección Smali.

"Sobre la base de nuestras estadísticas de detección, el principal vector de infección es la propagación de aplicaciones troyanas directamente a las víctimas a través de los mensajeros de Telegram y WhatsApp", dijeron los investigadores.

Además de esto, los investigadores también encontraron que el código utilizado en el malware para analizar los comandos del servidor de comando y control se parece a las versiones modificadas de un cliente de código abierto XMPP / Jabber para la plataforma Android llamada "Conversaciones".

"Además, no vimos rastros de la inyección de Smali [en la aplicación de Conversaciones modificada]", explicaron los investigadores de Kaspersky, pero "encontraron rastros de compiladores dx / dexmerge, lo que significa que, esta vez, los atacantes solo importaron la fuente original código en un IDE de Android (como Android Studio, por ejemplo) y lo compiló con sus propias modificaciones ".

Sin embargo, esas versiones modificadas de la aplicación Conversaciones no contienen ningún código malicioso, pero parecen ser utilizadas por el mismo grupo de atacantes para un propósito aún no descubierto.

"Esto nos trajo la hipótesis de que esta podría ser la versión utilizada por el grupo detrás de ViceLeaker para la comunicación interna o para otros fines poco claros. Toda la detección de esta aplicación de puerta trasera se geolocalizó en Irán", dijeron los investigadores.

Según los investigadores, la campaña de ataque ViceLeaker aún está en curso, y los atacantes podrían distribuir versiones mal empaquetadas de aplicaciones legítimas a través de tiendas de aplicaciones de terceros, mensajeros instantáneos o páginas web en línea controladas por atacantes.

Dado que estas aplicaciones se disfrazan de aplicaciones legítimas o populares, se recomienda a los usuarios de Android que siempre descarguen aplicaciones de fuentes confiables, como Google Play Store, para evitar ser víctimas de este ataque.

Sin embargo, tampoco debe confiar en todas las aplicaciones disponibles en Play Store. Por lo tanto, siempre utilice solo desarrolladores verificados para evitar instalar aplicaciones maliciosas.