Las amenazas de spyware en dispositivos móviles se continúan multiplicando sin descanso. En esta ocasión, un aviso publicado por la empresa de seguridad Cyfirma, ha alertado de varias apps infectadas que siguen estando disponibles para su descarga. Eso significa que, incluso tras publicarse la alerta, los usuarios continúan estando expuestos a la infección. ¡No descargues ninguna de ellas!
El sistema operativo Android se vuelve a enfrentar con nuevas amenazas. Y el problema es que Google no actúa con tanta rapidez como se podría esperar en la limpieza y gestión de Google Play. Las apps infectadas de las que ha dado parte Cyfirma suponen un grave peligro porque podrían estar filtrando importantes datos de tu móvil, como tu lista de contactos o información relacionada con tu localización.
Es un ataque de DoNot
Según los análisis y comprobaciones que ha llevado a cabo Cyfirma, todo apunta a que esta operación de ataque con spyware está siendo llevada a cabo por el grupo DoNot. Esta organización hacker encuentra su sede en India y también es conocida en la industria como APT-C-35. El problema, en estos casos, es que se comenta siempre que los objetivos suelen ser grandes empresas y negocios, pero no hay que descartar que los usuarios también vayan a encontrarse con algún tipo de inconveniente. Al fin y al cabo, quién sabe qué están haciendo esos hackers con los datos que roban de los móviles infectados.
El trabajo de DoNot se lleva siguiendo por parte de las autoridades desde hace años. Sus actividades comenzaron en 2018 y poco después se pusieron en el punto de mira de los principales grupos de lucha contra el cibercrimen. Dicen desde Cyfirma que la infección que se inicia con las apps de este ataque podría ser solo el primer paso para ataques más complejos en el futuro. Así, estarían abriendo una puerta a millones de terminales con el objetivo futuro de usarlos de alguna manera que no ha sido concretada.
Estas son las apps infectadas
Hay un total de tres aplicaciones que ha detectado el equipo de Cyfirma. Dos de ellas está totalmente confirmado que suponen un riesgo debido a la presencia de spyware, mientras que la tercera está en duda, pero por ahora los expertos no han conseguido encontrar rastro de ninguna infección. Podría tratarse de un señuelo para aparentar, en primera instancia, que estaban subiendo aplicaciones limpias y legales, o quizá tienen la intención de actualizarla en el futuro y cargar el spyware en ese momento.
Las apps que están infectadas con seguridad del 100% son iKHfaa VPN y nSure Chat, mientras que la tercera aplicación de la que hablamos es Device Basics Plus. Las tres han sido subidas a Google Play por parte de la misma «empresa»: SecurITY Industry. La única buena noticia es que las tres apps no parece que hayan acumulado una gran cantidad de descargas. Podría deberse, no obstante, a que los hackers las tienen en espera hasta el momento en el que inicien la campaña de infección a mayor escala. Así, quizá estén tratando de ganar margen de maniobra para que, quienes desconfían de nuevas aplicaciones, vean que ya llevan disponibles un tiempo y piensen que no debe haber ningún riesgo con ellas.
En el proceso de instalación, tal y como leemos en Bleeping Computer, ambas aplicaciones infectadas solicitan permisos demasiado elevados como para que no suenen las alarmas. Las apps piden tener acceso a la lista de contactos y a la localización, lo que no hay duda que es algo sospechoso. Después, analizando el rendimiento de las apps, se puede ver cómo esos datos sensibles son enviados hacia los servidores de los hackers. Además, en la producción de las apps se ha robado código de aplicaciones reales y hay varias pistas más que dejan claro que se trata de spyware.
Según los especialistas en seguridad, el plan de los hackers con estas apps con spyware pasaría por enviar enlaces a través de aplicaciones como WhatsApp y Telegram para, en el momento en el que pasen al ataque, conseguir que una gran cantidad de usuarios se infecten. ¡Pero les han descubierto antes de lo previsto!