Identifican campaña de espionaje que se distribuye por aplicaciones de mensajería
Este backdoor es capaz de realizar capturas de pantalla y tomar fotos, grabar llamadas telefónicas y el audio circundante, y exfiltrar cualquier otra información confidencial del dispositivo.
Una campaña de ciberespionaje ha estado distribuyendo virus troyanos que “permiten el acceso al sistema infectado y su control remoto” a través de aplicaciones de mensajería para Android troyanizadas, exfiltrando información confidencial. Esta fue revelada por el equipo de investigación ESET.
Las víctimas probablemente fueron atacadas a través de una estafa romántica, donde inicialmente fueron contactadas en otra plataforma y luego convencidas de usar aplicaciones supuestamente “más seguras” que terminaron instalando en sus dispositivos.
Además de la funcionalidad de chat inherente de la aplicación legítima original, las versiones troyanizadas incluyen el backdoor CapraRAT.
Este backdoor es capaz de realizar capturas de pantalla y tomar fotos, grabar llamadas telefónicas y el audio circundante, y exfiltrar cualquier otra información confidencial del dispositivo.
También puede recibir comandos de los atacantes para realizar distintas acciones en el dispositivo comprometido, como descargar archivos, realizar llamadas y enviar mensajes SMS.
Antes de usar la aplicación, las víctimas deben crear cuentas que estén vinculadas a sus números de teléfono y requieran la verificación vía SMS.
Luego de crearse la cuenta, la aplicación solicita permisos adicionales que permiten que se despliegue la funcionalidad completa del backdoor, como acceder a contactos, registros de llamadas, mensajes SMS, almacenamiento externo y grabación de audio.
“La campaña apuntando a dispositivos móviles operada por el grupo Transparent Tribe sigue activa y utiliza dos aplicaciones de mensajería troyanizadas como cubierta para distribuir su backdoor para Android CapraRAT”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
“Ambas aplicaciones se distribuyen a través de dos sitios web similares que, según sus descripciones, brindan servicios seguros de mensajería y llamadas. Los operadores de estas aplicaciones tenían una seguridad operativa deficiente, lo que provocó que la información personal identificable de la víctima quedara expuesta a nuestros investigadores a través de Internet. Gracias a esto fue posible obtener alguna información sobre las víctimas”, añade Gutiérrez Amaya.