Aplicación falsa de Netflix espía actividad en dispositivos móviles

Share this…

Han encontrado a SpyNote RAT, un troyano con capacidades de espionaje, simulando ser la aplicación Netflix para engañar a los usuarios de Android y que la descarguen; posteriormente establece un monitoreo constante de la actividad del usuario.

Zscaler’s ThreatlabZ dijo que una vez instalado, el malware es capaz de activar el micrófono del dispositivo y escuchar conversaciones en tiempo real, desinstalar el software antivirus, copiar archivos desde el dispositivo al servidor del atacante, generar grabaciones mediante capturas de pantalla, visualizar contactos, leer mensajes SMS, y obtener control remoto del dispositivo.

Para ese último punto, la ejecución de comandos puede ocasionar problemas para la víctima si el desarrollador del malware decide ejecutarlos en el dispositivo de la víctima. Aprovechando esta característica, el desarrollador del malware puede obtener permisos administrativos en el dispositivo usando una gama de vulnerabilidades, ya sean populares o de día cero.

“El spyware en este análisis se mostró a sí mismo como la aplicación Netflix. Una vez instalada, muestra el mismo icono encontrado en la aplicación real de Netflix en Google Play”, explicaron los investigadores en un análisis. “Tan pronto como el usuario hace clic por primera vez en el icono del software espía, parece que nada sucede y el icono desaparece de la pantalla de inicio. Este es un truco común utilizado por los desarrolladores de malware, por lo que el usuario piensa que la aplicación pudo haber sido eliminada. Pero, detrás de escenas, el malware no ha sido eliminado sino que comienza a preparar su ataque”.

SpyNote RAT también utiliza un truco inusual para asegurarse de que permanece en ejecución y que el espionaje no se detenga. Utiliza una característica llamada BootComplete, que es un receptor de difusión, un componente de Android que se puede registrar a sí mismo para un evento en particular. En este caso, cada vez que se inicia el dispositivo, se inicia BootComplete, después inicia el servicio AutoStartup, que puede realizar operaciones de larga duración en segundo plano y no necesita la intervención del usuario. En consecuencia, el servicio AutoStartup se asegura de que la funcionalidad principal de la troyano de acceso remoto (RAT, pos sus siglas en inglés) siempre esté en ejecución.

El equipo también encontró otras aplicaciones falsas desarrolladas usando la herramienta SpyNote, incluyendo versiones falsas de WhatsApp, YouTube Video Downloader, Google Update, Instagram, AirDroid, Facebook, Photoshop, SkyTV, Hotstar, Trump Dash y Pokémon GO!.

Fuente:https://www.seguridad.unam.mx/