Un nuevo malware de Android puede robar datos, grabar conversaciones y espiar a la gente

El Spyware RatMilad de Android ataca a empresas con capacidades de espionaje

Un nuevo malware de Android llamado RatMilad puede espiar dispositivos móviles y está afectando principalmente a empresas del Medio Oriente. Se usa para espiar a las víctimas y robar varios datos de los dispositivos. La infección fue descubierta por la firma de seguridad móvil Zimperium, la cual alertó a la gente sobre la posibilidad de que esta amenaza pueda ser usada para ciber espionaje, extorsión, o para escuchar a escondidas las conversaciones de las víctimas ya que el malware puede grabar audio usando el dispositivo hackeado.

El análisis de spyware fue exitoso cuando el malware falló a la hora de cargarse en el dispositivo, y el equipo de investigación de Zimperium pudo analizarlo:

The phone spoofing app is distributed through links on social media and communication tools, encouraging them to sideload the fake toolset and enable significant permissions on the device.

Ya que esta amenaza afecta principalmente a empresas, puede crear problemas mayores, ya que los datos obtenidos de las máquinas afectadas pueden ser usados para acceder a los sistemas corporativos privados, realizar más blackmail a la gente y lanzar otras campañas. Los actores maliciosos que operan la infección pueden producir notas a las víctimas, descargar materiales robados y obtener datos adicionales para otras campañas maliciosas en el futuro.

El malware se difunde usando aplicaciones falsas

Este spyware fue descubierto usando la distribución de amenazas donde un generador de números virtuales usado para activar cuentas de redes sociales desencadenó la colocación de la carga explosiva. Una vez instalado, la aplicación NumRent desencadena la respuesta a permisos arriesgados, y luego el malware RatMilad se instala en la máquina.

El malware puede ocultarse también detrás de aplicaciones de conexión VPN. El principal canal por el que se pueden obtener estas aplicaciones spyware es Telegram. Los troyanos también pueden traer consigo RatMilad a través de la Google Play Store y de tiendas de terceros, las cuales son conocidas por ser métodos comunes para la distribución de malwares de Android.

Una particular página promocional fue desarrollada para empujar el troyano de acceso remoto y hacer que la instalación de estas aplicaciones sea más convincente. Estas páginas promocionales fueron también promovidas a través de IRLs compartidos en canales de Telegram, otras redes sociales y plataformas de comunicación. La investigación desveló que estos canales fueron vistos al menos 5000 veces y muchos de los enlaces recibieron 200 comparticiones externas.

Los creadores de malware confían en programas maliciosos falsos que son comunes y populares, por lo que la gente no presta atención a los detalles sobre la cuenta de la aplicación. Esto también incluye la aplicación que los hackers usan para promover sus servicios. Fake Telegram application ha sido empujada para usuarios de Android con códigos maliciosos que conducen a espiar a la gente a través de aplicaciones de vigilancia adicionales instaladas.

Datos afectados: valiosos y fácilmente accesibles

La infección exitosa permite a los operadores de RatMilad acceder y compartir datos como detalles básicos de la máquina, listas de contacto o mensajes SMS y registros de llamada. Sin embargo, los nombres de cuentas y permisos, listas de archivos, contenidos de archivos, información de la SIM o las aplicaciones instaladas y permisos pueden ser más valiosos y usados luego para ejecutar otras amenazas para la ciber seguridad.

La amenaza puede también desencadenar acciones con archivos en la máquina. Este virus puede eliminar archivos, robarlos, modificar los permisos de las aplicaciones instaladas e incluso usar el micrófono en el dispositivo para grabar audio y escuchar a escondidas el dispositivo afectado.

Estas funciones permiten al malware reunir varios datos sobre entidades corporativas y detalles personales sobre la gente, fotos, documentos, vídeos y comunicaciones privadas. Está diseñado para ejecutarse silenciosamente en el segundo plano, por lo que su existencia puede no ser detectada durante un tiempo mientras RatMilad espía a la víctima.

El código de esta infección se piensa que es obtenido desde el grupo de AppMilad, y el método de distribución de aplicaciones falsas estaba integrado. Incluso aunque la aplicación es avanzada y mejorada, los investigadores piensan que el malware de Android está eligiendo objetivos aleatoriamente y las empresas son afectadas intencionadamente.