Roban fotos y videos de dispositivos Android a través de aplicaciones que lucen reales

Los investigadores de ESET, empresa de software de seguridad, han identificado varias campañas de espionaje dirigidas a usuarios de dispositivos Android, atribuidas al grupo de amenazas cibernéticas conocido como Arid Viper.

Estas tácticas, que están activas desde 2022, implican la distribución de un spyware, que es un programa que recopila toda la información de un dispositivo sin la autorización de su dueño, mediante aplicaciones alteradas.

El peligro de esta modalidad radica en la imitación de apps que parecen legítimas, pero que terminan siendo la entrada a varios ciberataques y robos.

Desde el año pasado, se ha observado un incremento en la actividad de estas campañas. Los cibercriminales han utilizado sitios web que presentan aplicaciones troyanizadas de Android como medio principal de distribución del malware.

Entre las aplicaciones falsas detectadas se encuentran versiones de mensajería, una aplicación de oportunidades de empleo y otra del Registro Civil Palestino. Estos programas, lejos de ser inofensivos, están diseñados específicamente para espiar a los usuarios.

Investigadores de la empresa de ciberseguridad, señalaron que se han identificado cinco campañas de las cuáles solo tres siguen activas. Además, las aplicaciones más recientes incluyen títulos como NortirChat, LapizaChat y ReblyChat.

Si bien, aunque parecen legítimas, estas aplicaciones contienen código malicioso destinado a recopilar información privada de los usuarios.

AridSpy, la herramienta de espionaje utilizada en estas campañas, es extremadamente sofisticada. Desde su aparición, ha evolucionado en múltiples fases para evitar ser detectada.

Inicialmente, consistía en una única etapa de infección, pero ahora incluye una segunda etapa de carga útil que se descarga dinámicamente. Por ejemplo, durante la Copa Mundial de la FIFA en Qatar, una de las campañas más notorias empleó una aplicación llamada Kora442.

Asimismo, el análisis realizado por ESET revela que estas aplicaciones nunca se distribuyeron a través de Google Play, el mercado oficial de aplicaciones de Android.

En su lugar, se descargan desde sitios web de terceros, lo que requiere que las víctimas activen la opción de instalar aplicaciones de fuentes desconocidas en sus dispositivos. Esta configuración, si bien permite la instalación de software fuera de la tienda oficial, también abre la puerta a potenciales amenazas.

La telemetría de ESET ha registrado casos de infección en Palestina y Egipto, destacando así la naturaleza sofisticada de AridSpy. Este spyware es capaz de tomar fotos, grabar audio y registrar texto visible en aplicaciones de mensajería instantánea como Facebook Messenger y WhatsApp.

Estas capacidades se logran mediante el uso malicioso de servicios de accesibilidad en Android, una técnica que permite al malware obtener permisos profundos en el dispositivo sin que el usuario se dé cuenta.

Para evitar la detección, AridSpy incorpora mecanismos de evasión, incluyendo la verificación de la presencia de software de seguridad en el dispositivo antes de proceder con las descargas maliciosas.

Además, el malware mantiene contactos regulares con los servidores de comando y control, utilizando una infraestructura específica que varía según cada campaña. Esta comunicación constante permite a los atacantes actualizar el spyware y supervisar a las víctimas en tiempo real.

Las campañas de ciberespionaje llevadas a cabo por grupos como Arid Viper reflejan la creciente complejidad y adaptabilidad de los actores cibernéticos.

Los métodos empleados no solo enfatizan un profundo conocimiento técnico, sino también, una habilidad para explotar vulnerabilidades humanas y tecnológicas.

Este escenario destaca la necesidad urgente de medidas de seguridad más robustas para proteger a los usuarios de Android de estas amenazas.

Entre las recomendaciones más comunes de expertos en seguridad cibernética para mitigar el riesgo de infección, se encuentran la descarga de aplicaciones únicamente desde la tienda oficial de Google Play y la desactivación de la opción que permite instalar software de fuentes desconocidas.

Los usuarios deben estar atentos a las autorizaciones que conceden a las aplicaciones y utilizar software de seguridad actualizado para detectar y eliminar potenciales amenazas.