Una vez más el ciberdelincuentes se pusieron en las tendencias Internet. Ahora decidieron clonar uno página de comunicación por videollamada que permite a los usuarios de todas las partes del mundo encontrarse una o más personas al mismo tiempo para tener conversaciones “privado” Con extraños. Dicha plataforma es parte de los servicios más jóvenes que existen en la rama de esta industria porque la lanzaron hace sólo cinco años. Sin embargo, ya ha ganado popularidad en varias partes del globo y la razón principal es que está disponible en más de 70 países Sin embargo, surge una amenaza latente para el usuarios de android y cae en la instalación de un solicitud que acaba espiando a sus usuarios.
La campaña opera desde finales de 2021
Debido a la gran popularidad que dijo plataforma —disponible solo para version de escritorio-, ESET, la empresa especializada en la detección de amenazas digitales, identificó una campana —que a la fecha sigue vigente— propiedad de la Grupo StrongPity APT. distribuye una versión maliciosa de Telegrama a Androide presentado como un aplicaciones llamada pelusa, ¿Qué es el servicio de video chat? No tiene una versión móvil. Ya que noviembre 2021 la propagación de este software malicioso se ha hecho presente a través de un sitio web quien se hace pasar por pelusa
A diferencia del pagina legitima, ofrece a los internautas una aplicación falsa a Androide para los interesados que lo descarguen y obviamente anula el servicio para el versión web. Esto funciona como un modular con Varias funciones de espionaje. También es conocido como un “Puerta trasera de StrongPity”. Para ser más claro, tiene 11 módulos activados dinámicamente que permiten la solicitud:
- Grabar llamadas telefónicas.
- Recoger mensajes SMS.
- Accede a la lista de registros de llamadas.
- Acceso a la lista de contactos, y mucho más.
Si el víctima habilita el aplicaciones malicioso la servicios de accesibilidad, uno de sus módulos También tendrá acceso a la notificaciones llamadas entrantes y podrá filtrar la comunicación de 17 aplicaciones, entre ellos Viber, Skype, Gmail, Messenger y Tinder.
¿Cómo funciona este malware?
Especialistas de ESET enfocados en hacer algunos puntos clave de dicha investigar, llegaron a la conclusión de que:
- A distribuir la aplicación falsa con las funcionalidades de “puerta trasera del grupo StrongPity” —es decir, con los módulos de espionaje— usa el sitio web clonado Shagle, quien imita a la perfección al oficial.
- Él solicitud Eso descargar de sitio falso es un versión modificada de Telegrama. Recordemos que ser un aplicación de código abierto se puede volver a envasar con el código de “puerta trasera del grupo StrongPity”.
- Esta amenaza se atribuye a Grupo StrongPity APT debido a similitudes de código con el “retrocederr” utilizado en un Campaña de espionaje anterior. También está firmado y certificado por “Fuerte Lástima”.
- Él “Puerta trasera StrongPity” es modular y tiene Varias funciones de espionaje. Todos módulos binarios necesario están encriptados mediante AES que se descargan de servidor c&c, para controlar el programa malicioso
- Qué es “Estándar de cifrado avanzado”, también conocido como “Rijndael”. Un esquema de cifrado de bloque adoptado como estándar de cifrado por el gobierno de la EE.UU y creado en Bélgica.
- Esta es la primera vez que el módulos descritos Y funcionalidad de “Fuerte pena” lo sé documentar públicamente.
“La aplicación maliciosa es, de hecho, una versión troyana completamente funcional de la aplicación legítima de Telegram. Sin embargo, se presenta como la aplicación de Shagle, que no existe. Nos referiremos a esta aplicación como la aplicación Shagle falsa, la aplicación Telegram troyana o la puerta trasera StrongPity”, dijo el especialista de la sucursal Camilo Gutiérrez Amaya de ESET Latinoamérica.
así es como se ve
Es probable que la campaña apunte a un objetivo muy específico y limitado ya que aun no lo se identificar a cualquier víctima. Durante la investigación que compartió ESET, concluyó que la versión analizada del malware -disponible en sitio web falso– Ya no está activo. Por lo tanto, no se pudo instalar correctamente Y activar su funcionalidad. Sin embargo, aclararon que esto podría cambiar en cualquier momento si el atacante decide actualizar la aplicación maliciosa e iniciar —nuevamente— su reinado del espionaje. Cabe señalar que los afectados por esta campaña serían, principalmente, los usuarios de androide. Debemos destacar que funciona a través de la interfaz de Telegrama, así que incluso si parece cierto, ¡no lo es!
“La aplicación Shagle falsa estaba alojada en el sitio web que se hacía pasar por el sitio oficial de Shagle, desde el cual las víctimas tenían que descargar e instalar la aplicación. No hubo subterfugio para sugerir que la aplicación estaba disponible en Google Play y no sabemos cómo las víctimas potenciales fueron atraídas o descubrieron el sitio web falso”, concluyó Gutiérrez Amaya de ESET.
¿Cómo me protejo si soy víctima de esta estafa?
- Elimina la aplicación inmediatamente.
- Aunque te cueste más trabajo, tu seguridad es lo primero, así que:
- Restablece tu teléfono de fábrica.
- Si puedes cambiar tus contraseñas de redes sociales, aplicaciones bancarias, etc., ¡hazlo!
- Puedes instalar un antivirus para detectar a tiempo este tipo de fraude.
- Omita la instalación del Aplicaciones que no están en tu proveedor oficial, como Google Play Store o App Store.
Sigue leyendo:
El Diario Heraldo de México, es un sitio web de Heraldo Media Group, su lema es: “la evolución de esta casa editorial a una multiplataforma que integra a un diario impreso, digital, televisión y radio… somos la H que se lee, ve y escucha”.