En la red existen miles de aplicaciones que pueden hacer nuestra vida mucho más fácil, sin embargo, también existen muchas que pueden servir para todo lo contrario. En agosto de 2018, los investigadores de Bitdefender se encontraron con un malware para Android, denominado Triout, que brindaba capacidades de vigilancia inimaginables a los cibercriminales.
Para permitir que las víctimas descarguen este peligroso programa, los cibercriminales tomaron una aplicación legítima de Google Play y la copiaron, agregando el programa malicioso a esta nueva copia. Los usuarios, sin saber que en realidad estaban descargando la copia infectada, instalaban esta aplicación maliciosa que se ocultaba inmediatamente en su dispositivo e impedía ser rastreada.
Una vez infectado, el dispositivo permite a la aplicación maliciosa grabar llamadas telefónicas, registrar mensajes de texto entrantes, grabar videos, tomar fotos e incluso recopilar las coordenadas del GPS. Toda esta información se envía a un servidor de Comando y Control administrado por los actores de amenazas, sin disparar alarmas de sus víctimas.
La versión anterior del marco de spyware se incluyó en una aplicación que mostraba contenido para adultos, pero los investigadores de Bitdefender encontraron una nueva aplicación contaminada que disemina el malware.
Usando la privacidad como carnada
Com.psiphon3 es una aplicación popular en la tienda oficial de aplicaciones de Android de Google, la cual promete un medio para eludir sitios web censurados o bloqueados mediante el uso de una serie de proxies. La aplicación tiene más de 50 millones de instalaciones y más de 1 millón de revisiones (en su mayoría positivas), lo que significa que su popularidad pudo haber sido abusada por los actores de amenazas para volver a empaquetarla con el software espía.
Si bien la versión infectada no se distribuye utilizando el mercado oficial de Google Play, sino a través de terceros, la aplicación manipulada tiene el mismo código malicioso que la versión encontrada en agosto. Además, viene con tres componentes de adware: Google Ads, Inmobi Ads, Mopub Ads, para generar algunos ingresos para los actores de amenazas.
La investigación
La primera vez que fue detectada la nueva aplicación manipulada fue el 11 de octubre de 2018, mientras que parece haber estado activa desde el 2 de mayo de 2018 hasta el 7 de diciembre de 2018. Durante este tiempo, la aplicación maliciosa aparentemente fue escaneada desde 7 dispositivos diferentes, incluyendo 5 de la República de Corea y 2 de Alemania.
Al analizar la muestra, el equipo de Bitdefender encontró el mismo código malicioso que en la versión anterior. El nuevo paquete infectado contiene las mismas funcionalidades que la versión anterior, pero lleva el nombre «psp.jsp.datamd».
Algo que llamó la atención de los investigadores sobre la nueva muestra de Triout es que el servidor de Comando y Control que los actores de amenazas usan para contrabandear los datos y controlar los dispositivos infectados ahora es diferente. La nueva dirección IP («188.165.49.205») aún está operativa y parece apuntar a un sitio web en francés («magicdeal.fr») que muestra ofertas y descuentos para varios productos. Actualmente se desconoce si el sitio web es un señuelo o un sitio web legítimo que los actores de amenazas se comprometieron a usar como servidor de C&C.
A fin de evitar ataques de este tipo y proteger tu información personal, los especialistas de Bitdefender recomiendan no instalar aplicaciones que provengan de fuentes no oficiales. Asimismo, es importante contar con herramientas de ciberseguridad actualizadas para hacerle frente a cualquier ataque que puedan intentar los cibercriminales.
