Una campaña sigilosa y peligrosa de spyware de DoNot APT puede haberse dirigido a cientos de usuarios de Android haciéndose pasar por VPN falsas y aplicaciones de chat en Google Play Store. Los usuarios deben verificar sus dispositivos y eliminar las aplicaciones de inmediato si se están ejecutando.
La campaña de software espía DoNot APT se propaga a través de aplicaciones falsas de Android
Investigadores de la firma de seguridad cibernética Cyfirma han descubierto una campaña engañosa de spyware dirigida a los usuarios de Android. Sin embargo, esta campaña de software espía es diferente de las campañas regulares en que aparentemente se dirige a usuarios de un país específico.
Específicamente, los investigadores notaron la actividad del infame DoNot APT, un grupo de actores de amenazas indios (presuntamente respaldados por el estado). La actividad reciente de DoNot APT está propagando software espía a través de dos aplicaciones falsas de Android que aparecieron en Google Play Store. Estos incluyen la aplicación iKHfaa VPN y la aplicación nSure Chat. Ambas aplicaciones pertenecían al mismo desarrollador llamado «SecurITY Industry» en Play Store.
Una tercera aplicación, la «aplicación Device Basics Plus», una utilidad de ayuda del dispositivo que proporciona detalles básicos del sistema al usuario en una sola pantalla, también era propiedad de los mismos desarrolladores. Pero no mostró ningún comportamiento malicioso en el momento del análisis.
En cuanto a la aplicación VPN iKHfaa, la aplicación parecía legítima ya que ofrecía la funcionalidad VPN básica como se afirma. Sin embargo, solicitó permisos explícitos para el dispositivo, incluida la ubicación del dispositivo y la lista de contactos, lo que alarmó a los investigadores. Además, la sección «Acerca de» de la aplicación mostraba el nombre real de la aplicación (Liberty VPN, una aplicación VPN legítima) que los piratas informáticos estaban usando para crear su VPN maliciosa.
De manera similar, la aplicación nSure Chat también solicitó permisos similares, y el análisis de la aplicación reveló extrañas similitudes en el código malicioso entre las dos aplicaciones. Ambas aplicaciones transmitieron datos robados del dispositivo al C&C de los atacantes.
El análisis técnico detallado de esta campaña y las aplicaciones maliciosas está disponible en el informe de los investigadores.
La amenaza aún persiste…
Aparentemente, esta campaña parece estar dirigida a usuarios de Android en Pakistán. Sin embargo, aún no están claros más detalles sobre las víctimas y cómo distribuir este software espía a las víctimas previstas.
Al momento de escribir esta historia, la aplicación iKHfaa VPN parece haber sido eliminada de Google Play Store. Sin embargo, las aplicaciones nSure Chat y Device Basics Plus todavía existen, lo que indica que la amenaza no ha terminado.
Aunque las aplicaciones muestran un número muy bajo de descargas, es aconsejable que los usuarios de Android escaneen sus dispositivos en busca de la posible presencia de alguna de estas aplicaciones. Y si se detectan, los usuarios deben eliminarlos de inmediato, seguido de un análisis antivirus sólido, para eliminar la amenaza.
Háganos saber sus pensamientos en los comentarios.