El spyware que puede registrar contraseñas se propaga usando aplicaciones falsas de Skype y Signal
Los atacantes no pueden permitirse el lujo de detenerse en su búsqueda para encontrar formas nuevas e interesantes de infectar a las víctimas con malware. Por ejemplo, cuando se trata de usuarios de Android, existen vectores de infección conocidos que, a primera vista, funcionan bastante bien pero no son tan efectivos como solían ser. Los hackers a menudo utilizan una aplicación simple que promete agregar ciertas funciones al dispositivo de los usuarios, como una linterna o un escáner de códigos QR. Tras la instalación, la aplicación solicita permisos que no son típicos para la funcionalidad anunciada, pero la gente a menudo los ignora. Efectivamente, luego se dan cuenta de que realmente han instalado software malicioso en sus dispositivos móviles.
Es un método probado que funciona hasta el día de hoy, pero cada vez más personas se están dando cuenta. Además, aquellos que podrían ser más susceptibles a ataques de alto perfil saben cómo protegerse. Esto significa que los actores de amenazas se enfrentan a un desafío mayor y, por supuesto, están dando un paso adelante.
Los hackers propagan malware con la ayuda de aplicaciones legítimas troyanizadas
En una entrevista reciente con ThreatPost, Apurva Kumar de una compañía de seguridad llamada Lookout habló sobre lo que los piratas informáticos han estado utilizando para atacar sus objetivos con malware. Al darse cuenta de que las personas están comenzando a ser un poco más cuidadosas con las aplicaciones que instalan en sus dispositivos, los atacantes ahora están tratando de engañarlas utilizando los nombres de servicios en línea legítimos y conocidos.
Específicamente, Kumar señaló que algunos actores de software espía están utilizando los nombres de Skype y Signal para empujar a los objetivos a instalar malware. El funcionamiento de estas dos aplicaciones depende de que tengan acceso a cosas como la cámara y la lista de contactos guardada en el dispositivo, lo que significa que es menos probable que los objetivos sean sospechosos. Además, a los usuarios se les ofrece una marca y un logotipo conocidos y reconocibles, y no una aplicación aleatoria que promete escanear códigos QR (algo que su teléfono probablemente sea capaz de todos modos).
Hay que decir que el enfoque de Kumar estaba en los ataques dirigidos a objetivos de alto valor y no a usuarios aleatorios. En estos ataques, poner la aplicación maliciosa bajo un nombre familiar simplemente no es suficiente. La investigadora dijo que en los casos que la examinan, los delincuentes tomaron aplicaciones legítimas de Skype o Signal, las desempacaron e inyectaron su código malicioso dentro de ellas. De esta forma, el objetivo instalaría la aplicación con todas sus capacidades regulares, y es menos probable que vean que sus datos se están desviando.
Monokle está vivo y pateando
La entrevista de Apurva Kumar se centró en una familia de spyware o vigilancia de Android llamada Monokle. Ha existido desde al menos 2015, pero no fue hasta el verano pasado cuando los expertos de Lookout lo detectaron y lo examinaron con mayor detalle.
La compañía de seguridad incluso atribuyó el software espía extremadamente versátil a una compañía rusa llamada Special Technology Center (STC). STC desarrolla productos de seguridad para Android, pero también se cree que tiene fuertes conexiones con el gobierno ruso. En 2016, la administración de Obama sancionó a la compañía por interferir con las elecciones presidenciales de EE. UU., Que, si la atribución de Lookout es precisa, realmente no ha hecho mucho para disuadirla de continuar con la distribución de spyware.
No es muy probable que los usuarios habituales se vean afectados por las aplicaciones troyanizadas de Skype y Signal que llevan Monokle. Como mencionamos en nuestro artículo anterior, el spyware es extremadamente sofisticado y probablemente solo se use en objetivos de alto perfil. Sin embargo, esto no significa que otros actores de amenazas no tomarán nota de las supuestas tácticas de STC, por lo que mantener su ingenio sobre usted incluso cuando está instalando aplicaciones aparentemente reconocibles es tan importante como siempre.
