Identifican un nuevo programa malicioso que afecta a dispositivos Android. Se trata de Process Manager, un software que es capaz de robar datos, así como grabar audio y rastrear la ubicación, mientras trabaja en segundo plano.
La compañía de ciberseguridad Lab52 identificó este malware, que utiliza la misma infraestructura de alojamiento compartido utilizada por un grupo de ciberdelincuentes de origen ruso llamado Turla.
Por el momento, se desconoce si Process Manager está respaldado por Turla o si tiene alguna conexión o relación directa con esta campaña, también conocida como Snake o Uroburos.
Este software, que también es de origen ruso, llega a los dispositivos a través de un archivo APK malicioso que funciona como spyware o programa espía en Android y roba datos, sin que el usuario lo note ya que actúa en segundo plano.
Según han determinado los investigadores, una vez instalada la aplicación, se coloca en el menú de aplicaciones y muestra un icono de una tuerca, que los usuarios pueden llegar a confundir con el menú de Configuración.
Además, cuando se ejecuta por primera vez en el dispositivo, exige un total de 18 permisos para acceder a la ubicación del teléfono, al bloqueo y desbloqueo de pantalla, a la información de las redes WiFi o a los sensores de la cámara incorporados en el equipo.
Otros de los permisos que solicita esta aplicación son el acceso a las llamadas telefónicas o la información de los contactos y puede iniciar la aplicación cuando el dispositivo está encendido, enviar SMS, escribir en la tarjeta de memoria o leer dispositivos de almacenamiento externo.
Una vez que se abre la aplicación por primera vez, se elimina su icono del menú de aplicaciones y se ejecuta en un segundo plano, ya que aparece en la barra de notificaciones.
De ese modo, además de robar información confidencial, es capaz de hacer fotos o videos, así como grabar audio desde la grabadora de voz que habitualmente viene preinstalada en estos móviles.
En este caso, la aplicación consigue extraer estas grabaciones en formato mp3 en el directorio del caché y, junto con el resto de datos, los envía en formato JSON a un servidor localizado en Rusia.
Por el momento, se desconoce de dónde procede este malware, pero los investigadores han encontrado indicios en otra aplicación llamada Ro Dhan: Earn Wallet Cash, que hasta ahora estaba disponible en Google Play.
Cómo saber si hay una aplicación espía en el celular
Existen diferentes pasos que se pueden realizar para escanear el móvil en busca de alguna aplicación espía o spyware.
1. Hacer un análisis con Play Protect
Esta herramienta, disponible en Play Store, revista el móvil y las aplicaciones en busca de algún comportamiento dañino. En caso de que se encuentre algún riesgo, el usuario recibe una notificación. Esta configuración está habilitada por defecto y los análisis se hacen de forma automatizada.
Para revisar que esté habilitada la opción y verificar que esté funcionando de forma adecuada, hay que ingresar en Play Store, desde el móvil, presionar en la foto de perfil que se encuentra en el margen superior derecho y se desplegará un menú de opciones.
Una de ellas es Play Protect. Ingresar allí y ver el informe.
Para asegurarse de que la opción esté habilitada, presionar en el ícono de la tuerca y verificar que está activado el análisis de las apps con Play Protect.
2. Verificar de dónde se descargaron las aplicaciones y qué permisos tienen
Al tener Play Protect activado, se realiza un escaneo automático de las apps instaladas, pero no está de más hacer una doble verificación manual. Un punto interesante es revisar los permisos que tienen las plataformas instaladas así como de dónde se descargaron.
Para acceder a esta información hay que ir al ícono de ajustes (el símbolo de la tuerca) en el móvil, luego ingresar en Aplicaciones y allí ir entrando a cada una para verificar donde dice Permisos así como en Detalles aplicación en tienda. Esto último sirve para ver de dónde se bajó la app, lo cual es muy importante, porque si la descarga se hizo de una tienda no oficial hay más riesgos de que se trate de un programa malicioso.
3. Acceder al modo seguro para borrar apps sospechosas
Cuando se reinicia el celular en modo seguro, se deshabilitan todas las aplicaciones de terceros y permite eliminar apps que de otro modo no se podrían borrar. Cabe señalar que esto no funcionará si el software malicioso tuvo acceso root al sistema.
Cómo acceder al modo seguro
Para iniciar en modo seguro hay que presionar el botón de apagado hasta que aparezca esa alternativa. En algunos modelos al presionar el botón de apagado aparece la opción Apagar y hay que volver a presionar allí hasta que aparezca la leyenda Modo Seguro y luego volver a hacer clic sobre esa opción.
Luego se debe ir hasta Configuración o Ajustes y allí ingresar a Aplicaciones. Se verá un listado con todas las apps de descargas. Hay que verificar si se encuentra alguna con nombre extraño o que no se recuerde haber descargado y eliminarla.
Antes de hacerlo, conviene hacer una búsqueda para saber qué se está quitando del dispositivo y evitar desinstalar algún programa útil que podría afectar su correcto funcionamiento.
En caso de que haya alguna sospecha que no se pueda quitar, hay que ingresar a Configuración o Ajustes/Bloqueo y seguridad/Otros ajustes de seguridad/Administración del dispositivo. Allí se debe desactivar el acceso del programa sospechoso.
En caso de que nada de esto funcione, se puede recurrir a hacer una copia de toda la información del celular y hacer una restauración de fábrica dentro del menú de Ajustes.
SEGUIR LEYENDO: