La popularidad del teléfono móvil y el uso de aplicaciones son desde hace tiempo un imán para la ciberdelincuencia. Entre las aplicaciones más descargadas en Android figuran las relacionadas con la mensajería instantánea, como Telegram, un buen cebo que el grupo de delincuentes APT-C-23 no ha dejado escapar, tal y como señalan desde la empresa de ciberseguridad ESET.
Funcionalidades extendidas de espionaje, ocultación y comunicación actualizada con el servidor de mando y control se camuflan bajo la apariencia de aplicaciones legítimas que se venden en tiendas falsas para Android. En 2019 ya había más de 2.000 millones de dispositivos con este sistema operativo en todo el mundo, un blanco perfecto para las amenazas.
El proceso de investigación comenzó a raíz de un tweet publicado por MalwareHunterTeam en el mes de abril. Aquel mensaje hizo saltar las alarmas y puso sobre la pista a los investigadores de ESET, que descubrieron que se trataba de una nueva versión de malware desarrollada por el grupo APT-C-23, también conocido como “Two-tailed Scorpion”, cuyos ataques se dirigen principalmente a Medio Oriente. Posteriormente, en junio, MalwareHunterTeam tuiteó sobre otra muestra de malware detectada que resultó ser una variante de la de abril.
El modo en el que el usuario lo instala en su dispositivo móvil es, en primer lugar, adquiriendo aplicaciones como Telegram, Threema y AndroidUpdate en una tienda falsa. Después, al configurar las opciones de privacidad y seguridad, la aplicación solicita otro tipo de permisos, por ejemplo acceso a las notificaciones del teléfono bajo la supuesta funcionalidad de cifrado de mensajes. A partir de ahí el ataque se efectúa de diferentes maneras: grabando audios, extrayendo registros de mensajes y de llamadas, robando archivos o eliminando notificaciones de las aplicaciones de seguridad de Android.
El grupo APT-C-23 fue descubierto por primera vez en el año 2017 y desde entonces sus versiones de malware no han parado de evolucionar, convirtiéndose en peligrosas trampas para los usuarios y siendo cada vez más complicada su identificación. Tanto es así que la telemetría de ESET y los datos de VirusTotal concluyeron que la variante Android/SpyC23.A ha estado activa desde mayo de 2019 y no fue hasta junio de 2020 cuando los sistemas de ESET bloquearon este spyware en dispositivos de clientes de Israel.
Evita instalar app maliciosas que simulan ser Telegram (u otras) en tu Android
Las recomendaciones para frenar la posibilidad de un ataque de este y de otros grupos de ciberdelincuentes especializados en dispositivos móviles Android son sencillos y conviene tenerlos presentes:
-
Instalar aplicaciones solo desde la tienda oficial de Google Play Store.
-
Revisar el tipo de permisos que solicitan dichas aplicaciones.
-
Contar con alguna solución de ciberseguridad adaptada a móviles.
Recuerda que detrás de un inocente permiso puede esconderse un spyware capaz de jugarte una mala pasada. Encuentra más consejos para prevenir posibles ataques a tu smartphone en este artículo.