Android / Spy23C.A

Android / Spy23C.A es una amenaza troyana de Android que está diseñada para infiltrarse y recopilar varios datos confidenciales de dispositivos móviles Android. Según los investigadores que lo analizaron, esta amenaza en particular no es del todo única. En cambio, representa una versión modificada con una funcionalidad enormemente ampliada de la amenaza de Android detectada previamente que se ha observado que es parte del repertorio de un grupo de amenazas persistentes avanzadas (APT) llamado APT-C-23 (también conocido como Two-Tailed Scorpion o Desert Scorpion). ). Las anteriores campañas de amenaza de APT-C-23 estaban dirigidas a usuarios de Oriente Medio y Android / Spy23C.A se ha empleado de la misma manera.

Android / Spy23C.A es mucho más potente que las versiones anteriores

Para llevar a cabo sus actividades de recopilación de datos, Android / Spy23C.A primero debe convencer al usuario objetivo de que le otorgue varios permisos bastante invasivos. Ésta puede ser la razón por la que los creadores del troyano han decidido utilizar las aplicaciones de mensajería como un disfraz plausible. Los engañosos trucos de ingeniería social comienzan incluso antes de la instalación real, ya que Android / Spy23C.A solicitará que se le permita grabar audio y video, tomar fotografías, leer y enviar SMS, así como leer y modificar contactos en el dispositivo. Después de la instalación, la amenaza se aprovechará del usuario desprevenido para expandir aún más su control sobre el dispositivo adquiriendo permisos adicionales, pero esta vez ocultando sus verdaderas intenciones detrás de pretensiones engañosas para varias funciones. Por ejemplo, el troyano le dice al usuario que puede realizar Video Chats Privados pero, en realidad, podrá grabar la pantalla del dispositivo. En otro caso, se le pedirá al usuario que permita el cifrado de mensajes, lo que hará que Android / Spy23C.A adquiera la capacidad de leer las notificaciones del usuario.

Para ocultar su presencia y actividad dañina, el troyano solicita a sus víctimas que instalen manualmente la aplicación de mensajería legítima después de su ejecución. El resultado es que el usuario tiene acceso a la aplicación real con todas sus funciones mientras que Android / Spy23C.A recopila datos en segundo plano sin llamar la atención en silencio. En algunos casos, sin embargo, cuando el troyano se hace pasar por WeMessage, AndroidUpdate y otros, las aplicaciones descargadas por las víctimas sirven solo como una distracción sin tener ninguna funcionalidad real.

Android / Spy23C.A posee todas las capacidades de las versiones anteriores utilizadas por APT-C-23. Puede filtrar registros de llamadas, SMS, contactos, manipular archivos en el dispositivo, desinstalar cualquier aplicación, recopilar archivos con extensiones específicas, grabar audio y tomar fotografías. La ya impresionante variedad de habilidades ahora se ha ampliado para incluir varias funciones nuevas y poderosas. Android / Spy23C.A puede realizar llamadas mientras muestra una pantalla negra en el dispositivo para ocultar su actividad. Para ocultar aún más su presencia, la amenaza puede descartar varias notificaciones de aplicaciones de seguridad según el fabricante específico del dispositivo móvil, así como descartar sus PROPIAS notificaciones, una característica bastante única que, según los expertos en ciberseguridad, podría usarse para ocultar. mensajes de error específicos que podrían surgir durante las operaciones del troyano.

Android / Spy23C.A se distribuye a través de una tienda de aplicaciones falsas

Como se mencionó anteriormente, la estrategia principal de Android / Spy23C.A es hacerse pasar por aplicaciones de mensajería legítimas. Para entregarlos a los usuarios objetivo, el grupo de hackers creó una tienda de aplicaciones de Android falsa y escondió las aplicaciones amenazantes entre varias legítimas. Las aplicaciones particulares que portaban la amenaza fueron AndroidUpdate, Threema y Telegram. Para limitar las posibilidades de descargas accidentales por parte de objetivos no deseados, los delincuentes ponen una medida de verificación: los usuarios deben ingresar un código de cupón de seis dígitos para iniciar la descarga de las aplicaciones amenazantes.

La tienda de aplicaciones falsas no es el único método de distribución empleado por APT-C-23, como lo demuestra el hecho de que se ha observado que su herramienta troyana se hace pasar por la aplicación WeMessage, que no se encuentra entre las aplicaciones disponibles en la tienda falsa. En una decisión bastante extraña, parece que los piratas informáticos han creado sus propios gráficos e interfaz de usuario personalizados, ya que la aplicación impostora no comparte similitudes con la aplicación legítima de WeMessage además del nombre.