Esta semana aparecieron dos malware devastadores que afectan a los dispositivos Android, lo que genera serias preocupaciones sobre la seguridad de De Google sistema operativo móvil. El martes, Kaspersky Labs expuesto “Skygofree”, un paquete de software espía capaz de realizar 48 funciones remotas diferentes y afectar a los usuarios en Italia. Unos días después, la empresa de ciberseguridad con sede en Tokio Trend Micro describió un software malicioso independiente y no relacionado, 'GhostTeam', que está presente en las aplicaciones de Google Play y se dirige específicamente a las personas Facebook cuentas.
optad_b
'Android es un objetivo candente debido a la arquitectura abierta de la plataforma, que es tanto una bendición como una maldición', dijo al Daily Dot Jon Clay, director de comunicaciones de amenazas de Trend Micro. 'Es genial que los usuarios de Android puedan seleccionar entre un amplio conjunto de proveedores para sus dispositivos móviles y tener acceso a la instalación de aplicaciones desde cualquier lugar, pero esto también les da a los actores de amenazas un medio para distribuir aplicaciones maliciosas muy fácilmente'.
Si bien estos ataques se realizaron con diferentes propósitos, ambos comprometen los dispositivos Android para robar información privada de los usuarios. Aquí hay un vistazo más detallado a Skygofree y GhostTeam con las mejores prácticas para proteger su teléfono inteligente.
Skygofree
Descrito por Kaspersky como 'una de las herramientas de software espía más poderosas' jamás vistas en Android, Skygofree permite a los piratas informáticos hacerse cargo de un dispositivo utilizando una variedad de capacidades remotas. Apareció por primera vez en la naturaleza en 2015, pero ha estado en desarrollo desde 2014, desarrollándose continuamente para convertirse en el poderoso malware que es hoy.
“Como resultado del proceso de desarrollo a largo plazo, existen múltiples capacidades excepcionales”, escribieron los investigadores de Kaspersky en una publicación de blog.
Algunas habilidades aterradoras que habilita incluyen capturar fotos y videos de forma remota, conectarse a una red Wi-Fi infectada y robar información personal de dispositivos remotos, como registros de llamadas, mensajes de texto, geolocalización, audio circundante, eventos del calendario y otra información de la memoria. También puede activar el micrófono de un teléfono inteligente para comenzar a grabar una vez que alcanza una ubicación geográfica específica.
Las cuentas de redes sociales de los usuarios de Android tampoco son seguras. Skygofree puede monitorear aplicaciones populares como Facebook Messenger, Line, Viber y WhatsApp, robando mensajes, incluso aquellos que están encriptados.
La herramienta se “distribuye a través de páginas web que imitan a los principales operadores de redes móviles”, donde aparece como una actualización que promete mayores velocidades. Las víctimas engañadas por esas tentadoras afirmaciones comenzarán a descargar el malware y su gran carga útil. Hasta ahora, solo los usuarios de Android en Italia han sido infectados.
Skygofree está en el Misma liga que Pegasus , un malware descubierto en agosto de 2016 que pone en riesgo toda la información de los dispositivos iOS de Apple. Ese software espía fue desarrollado por el traficante de armas cibernéticas israelí NSO para apuntar a un activista de derechos humanos en los Emiratos Árabes Unidos y a un reportero de México. Apple corrigió rápidamente el error en una actualización de software.
Kaspersky está 'bastante seguro' de que Skygofree fue creado por una empresa de TI italiana que crea software de intrusión y vigilancia ofensiva para gobiernos y agencias de aplicación de la ley. No nombró una entidad específica, pero dijo que probablemente fue vendida por una empresa similar a 'HackingTeam', que fue pirateada en 2015 y sus correos electrónicos se expusieron en una filtración masiva.
Para protegerse de Skygofree, solo descargue aplicaciones de desarrolladores de confianza. Puede ser una tarea complicada, pero existen algunas prácticas recomendadas que puede seguir para mantener alejados a los piratas informáticos. Primero, revise las reseñas para asegurarse de que la aplicación no haya causado problemas a otros usuarios. Además, mire el nombre del editor y asegúrese de que sea legítimo. Muchas aplicaciones que pasan por el proceso de verificación de Google se disfrazan de otras aplicaciones más populares. Y, por supuesto, siempre sospeche de las ventanas emergentes aleatorias y los enlaces desconocidos.
GhostTeam
Otro error, no relacionado con Skygofree, puede tomar el control de sus cuentas de redes sociales, específicamente Facebook. GhostTeam se inyectó en 53 aplicaciones diferentes de Play Store que pasaron por el proceso de verificación de Google. Su objetivo es robar sus credenciales de inicio de sesión de Facebook y sobrecargar su teléfono Android con anuncios emergentes.
Potencialmente, podría haber sido descargado por cientos de miles de usuarios de Android desconocidos. Una de las aplicaciones se descargó al menos 100.000 veces. Una vez que el malware determina que su host es un dispositivo Android normal (no uno que ejecuta un emulador), lanza una carga útil disfrazada de un servicio de Google Play. Luego, los malos actores obtienen el control total sobre la cuenta de Facebook de la víctima y comienzan a enviarles spam con anuncios emergentes en pantalla completa, generando ingresos en el camino. El proceso es similar al malware bancario descubierto en teléfonos Android a finales del año pasado.
El malware GhostTeam llegó por primera vez a Google Play Store en abril de 2017 y afectó principalmente a los usuarios de India, Indonesia y Brasil, los tres países con el la mayoría de los usuarios de Facebook , excluyendo EE. UU. No hay ninguna razón para creer que el malware no llegará a EE. UU. o Europa. Facebook es consciente de GhostTeam y está haciendo su parte para proteger a los usuarios.
'Estamos bloqueando la distribución de estas aplicaciones donde podemos y tenemos sistemas para ayudar a detectar cuentas y credenciales comprometidas', dijo un portavoz de Facebook. ZDNet .
Si bien no ha habido informes de 'campañas activas de delincuentes cibernéticos' que utilicen el malware, Trend Micro cree que podría explotar dispositivos para extraer criptomonedas o difundir noticias falsas. También cree que el ataque se creó en Vietnam debido al “uso considerable” del idioma vietnamita en el código.
TrendMicro notificó a Google y todas las aplicaciones infectadas con malware conocidas se eliminaron de Play Store. Por supuesto, aún podría haber más aplicaciones flotando, así que tome las mismas precauciones discutidas con Skygofree: mire las revisiones de las aplicaciones antes de descargarlas y mantenga siempre su teléfono actualizado.
'Google está haciendo lo que puede y se esfuerza por examinar las aplicaciones que se están agregando a Play Store, pero los actores de amenazas son astutos y encuentran formas de evitar la mayoría de las salvaguardas', dijo Clay, director de comunicaciones de amenazas de Trend Micro. 'Nuestra recomendación sigue siendo utilizar la Google Play Store oficial al obtener nuevas aplicaciones en lugar de instalar aplicaciones de fuentes no confiables, así como instalar una aplicación de seguridad sólida que pueda ayudar a bloquear la instalación de aplicaciones maliciosas'.
