Aparece una ‘app’ que sería el terror de los infieles, puede robar llamadas, mensajes de texto y detectar su ubicación

Ciberdelincuentes han distribuido una aplicación de chat fraudulenta llamada SafeChat, que contiene un ‘spyware’ capaz de robar registros de llamadas, acceder a los mensajes de texto y a las ubicaciones de los teléfonos infectados.

Así lo han podido comprobar los investigadores de CYFIRMA, que han localizado este tipo de ataques en la región del sur de Asia, donde estaría operando el SafeChat, aunque también se han detectado “rastros de técnicas utilizadas por DoNot APT”.

Este nuevo malware, identificado como Coverlm, exhibe un mecanismo similar a otro de DoNot APT distribuido a través de Google Play. Al contrario que este último, no obstante, “tiene más permisos y, por tanto, presenta un mayor nivel de amenaza”, según la firma de ciberseguridad.

Coverlm está integrado en la aplicación de chat fraudulenta SafeChat, que a su vez se distribuye a través de WhatsApp y que permite que los actores de amenazas extraigan toda la información necesaria de los dispositivos infectados antes de que se percaten de que se trata de una app fraudulenta.

Según la investigación de CYFIRMA, una vez se ha instalado esta aplicación, se coloca en el menú principal con un icono de acceso directo. Una vez abierta, se notifica al usuario de que está iniciando una aplicación de chat segura.

A continuación, se solicita al usuario que habilite un permiso para optimizar la batería mientras se está utilizando, así como para permitir su funcionamiento en un segundo plano. De ese modo, la aplicación continuará funcionando independientemente de si se ha minimizado o cerrado. Además, este permiso permitirá que el comando y el control se comuniquen libremente con la aplicación.

SafeChat abrirá, una vez otorgados estos permisos, una página de registro en la que se dispone un formulario con campos como el ‘nombre’, ‘nombre de usuario’, ‘contraseña’ y ‘confirmar contraseña’. Tras completarlo, la app vuelve a solicitar el permiso expreso de la víctima.

Según el análisis de esta firma de seguridad, esta aplicación fraudulenta es capaz de hacer un seguimiento de la ubicación, recopilar y archivar datos de las víctimas, acceder y guardar el registro de llamadas y los mensajes SMS, así como conocer la lista de contactos actualizada.

Cabe resaltar que recientemente un equipo de investigadores ha descubierto un nuevo malware integrado en aplicaciones para teléfonos Android, que recibe el nombre de CherryBlos y que utiliza el reconocimiento óptico de caracteres para robar claves de acceso.

Los especialistas en ciberseguridad del Servicio de aplicaciones móviles (MARS, por sus siglas en inglés) de Trend Micro han detectado una nueva familia de malware para el sistema operativo de Google y que están involucradas en la minería de criptomonedas y campañas de estafas financieras.

Se trata de CherryBlos, que apareció inicialmente en abril de 2023, que se habría distribuido inicialmente a través de Telegram y estaría presente en cuatro aplicaciones diferentes para Android: GPTalk, Happy Miner, Robot 999 y SynthNet.

Este es un ‘malware’ diseñado para robar contraseñas relacionadas con las transacciones de criptomonedas y que es capaz de reemplazar las direcciones empleadas cuando se retiran activos de estas wallets.

Desde Trend Micro recuerdan que, como la mayoría de troyanos bancarios modernos, CherryBlos “requiere de permisos de accesibilidad para funcionar”, de modo que cuando el usuario abre la aplicación infectada, se muestra una ventana de diálogo emergente que solicitará a los usuarios que habiliten los permisos de accesibilidad.

Una vez ha obtenido estos permisos, CherryBlos solicita dos archivos de configuración al servidor de comando y control (C&C), una dirección que se almacena como una cadena de recursos, y la comunicación se produce a través de HTTPS.

Para robar las credenciales o activos de las billeteras, CherryBlos usa diferentes técnicas. Una de ellas es la de implementar una interfaz de usuario falsa emergente cuando se inician las aplicaciones oficiales. De hecho, comprueba las apps de billeteras que el usuario tiene instaladas en su dispositivo para lanzar una falsa cuando detecta actividad.

Para ello, utiliza el Servicio de accesibilidad, un sistema que monitoriza la actividad y que, cuando la detecta, utiliza StartActivity para lanzar las aplicaciones fraudulentas con el fin de inducir a las víctimas a introducir sus credenciales de acceso. Una vez las víctimas introducen sus claves y hacen clic sobre el botón ‘confirmar’, estas se transmiten al servidor de C&C.

Con información de Europa Press.