Android: el spyware del servicio secreto ruso se esconde en falsos Pornhub y Google Play APKs

Android el spyware

Un malware de Android, o más específicamente un spyware desarrollado en nombre del servicio secreto ruso, ha sido descubierto por investigadores de seguridad de Lookout. Se ha usado activamente en un pequeño número de objetivos específicos desde marzo de 2016. Este formidable troyano está oculto en versiones falsas de aplicaciones populares, como Pornhub y Google Play.

Los investigadores de seguridad de Lookout advierten sobre el resurgimiento de un software espía desarrollado en nombre de los servicios secretos rusos por un subcontratista en 2016. Monokle es su nombre, es un troyano de Android. STC, el subcontratista original, fue sancionado por interferir en las elecciones presidenciales de los EE. UU. En 2016. Desde entonces, se ha utilizado activamente, según los investigadores, principalmente durante ataques muy graves. dirigido a un pequeño número de personas.

El malware Monokle de Android es particularmente peligroso.

Varios aspectos de este troyano lo convierten en un malware extremadamente peligroso. Tiene características de espionaje particularmente avanzadas, sin requerir acceso de root en el teléfono inteligente de destino. Es capaz de filtrar datos de otras aplicaciones, como Google Docs, Facebook Messenger, WhatsApp, WeChat y Snapchat simplemente detectando el texto que aparece en la pantalla cuando el usuario abre estas aplicaciones.

También extrae diccionarios y datos de escritura predictiva  “para tener una idea de los temas que interesan al objetivo” . También puede guardar la pantalla cuando está bloqueada para eliminar el código o el esquema. Además, puede instalar un certificado que luego permite a los espías interceptar el tráfico SSL / HTTPS sin el conocimiento del usuario.

Además de todo esto, puede filtrar la ubicación, las grabaciones del micrófono y las llamadas, grabar todo lo que sucede en la pantalla, todo lo que el usuario escribe, buscar en el historial, llamar … Incluso puede tomar fotos y videos de forma remota y hacer llamadas y enviar SMS en lugar de víctimas. La guinda del pastel: puede, queremos decir en este punto “por supuesto”, ejecutar código arbitrario, posiblemente con acceso raíz si el dispositivo de destino lo permite.

También existiría una versión para iOS.

La lista de sus características es muy larga, con más de 78 comandos predefinidos y varios modos de exfiltración de datos. Lo que hace que este malware sea aún más peligroso es que generalmente está oculto en las aplicaciones de Android más falsas: Google Play, Pornhub, Evernote, Signal, UC Browser, Skype … todas estas aplicaciones siguen siendo funcionales para que el El usuario no tiene conocimiento de nada.

Recuerda por su objetivo y sus características el famoso spyware Pegasus, desarrollado por la firma israelí NSO Group. Los investigadores también advierten que una versión para iPhone parece estar en desarrollo. Los investigadores explican que  “en varias muestras de Monokle para Android, se definen los objetos de transferencia de datos y comandos no utilizados que apuntan a la existencia de una versión de iOS”.

adores no dicen cómo se infectan los teléfonos inteligentes con Monokle: el vector probablemente puede ser un enlace enviado por SMS o correo electrónico, o mediante un acceso físico al dispositivo, por ejemplo, durante un control policial. Por ejemplo, ya hemos hablado sobre el spyware chino BXAQ que también se instaló silenciosamente en los teléfonos inteligentes de algunos turistas durante las verificaciones de rutina en la frontera.

Deja un comentario