Los investigadores de ESET han descubierto dos campañas cibercriminales que están explorando la popularidad de las aplicaciones de mensajería para difundir el nuevo spyware (malware SPY) en dispositivos Android. Bautizado de Prospía y Tospylas amenazas están pasando por versiones falsas del Señal y de TótokPara robar datos confidenciales de los usuarios.
Falsificación de sitios web y aplicaciones
Para dar la apariencia de legitimidad, los operadores crearon páginas falsas que imitaron el sitio web oficial de Signal e incluso Samsung Galaxy Store. En estas páginas, los usuarios fueron inducidos a descargar archivos APK maliciosos que, una vez instalados, solicitaron mensajes típicos de aplicaciones de mensajería, como acceso a contactos, SMS y archivos, pero en la práctica sirvieron para exfiltrar datos.
Cómo avanzaste el sitio Computadora BleepingLa información robada incluye detalles del dispositivo, mensajes de texto, contactos, archivos multimedia e incluso copias de seguridad de conversaciones TOTOK.
En el caso de ProspíaLos atacantes incluso disfrazaron el malware como «servicios de juego», incluso mostrando la pantalla de información de una aplicación de Google legítima cuando el usuario jugó en el icono en un intento por evitar sospechas.
La campaña activa de Tospy puede estar activa durante años
Ya la campaña Tospy Puede estar activo desde 2022. Spyware imita una versión «Pro» de TOTOK y recopila documentos, fotos, videos y archivos de copia de seguridad de la aplicación. Para reforzar el disfraz, el malware abre el TOTOK legítimo o redirige al usuario al espalería Huawei si la aplicación no está instalada en el dispositivo.
Según los investigadores, los datos exfiltrados se cifran antes de ser enviados a los servidores de control y control (C2). Además, tanto Prosph como Tospy tienen mecanismos de persistencia avanzados, como el reinicio automático Gerente de alarmaen primer plano, servicios con notificaciones y ejecución persistentes después de la restauración del dispositivo.
ESET cree que las campañas tienen como sus principales usuarios objetivo en Emiratos Árabes Unidosdonde Totok sigue siendo popular, aunque fue eliminado de las tiendas oficiales de Apple y Google en 2019, después de los cargos de espionaje.
Cómo protegerse
Los investigadores recomiendan que los usuarios de Android descarguen aplicaciones solo de tiendas oficiales, como Google Play Store, o directamente de los sitios de programador. También es esencial mantener el Google Play Protect Activo, como puede detectar y bloquear las amenazas conocidas.
Hasta ahora, ESET no ha podido asignar campañas a un agente malicioso o un grupo de ciberdelincuentes específicos.
18.70 €Amazonas
35.57 €-47%
