En el universo de aplicaciones disponibles en Google Play, la tienda oficial de aplicaciones para dispositivos Android, la seguridad y privacidad de los usuarios deberían ser prioritarias. Sin embargo, recientemente, ha surgido una preocupante tendencia: la presencia de aplicaciones maliciosas diseñadas para comprometer la seguridad de los datos y la privacidad de los usuarios.
Recientemente se encontró un troyano de acceso remoto (RAT) de Android conocido como VajraSpy en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023.
Las aplicaciones maliciosas, que ahora han sido eliminadas de Google Play pero siguen disponibles en tiendas de aplicaciones de terceros, están disfrazadas de aplicaciones de mensajería o noticias. Quienes instalaban las aplicaciones se infectaban con VajraSpy, lo que permitía al malware robar datos personales, incluidos contactos y mensajes, y, según los permisos concedidos, incluso grabar sus llamadas telefónicas.
Los investigadores que descubrieron la campaña informan que sus operadores son el grupo Patchwork APT, que ha estado activo desde al menos finales de 2015, apuntando principalmente a usuarios en Pakistán.
En 2022, el actor de amenazas reveló sin querer detalles de su propia campaña cuando infectó accidentalmente su infraestructura con la RAT 'Ragnatela', una herramienta que estaban empleando en ese momento. Este paso en falso proporcionó a Malwarebytes una ventana a las operaciones de Patchwork.
El vínculo entre VajraSpy y el grupo de actividades que se identifica como Patchwork fue establecido por primera vez por QiAnXin en 2022 (atribuyendo a APT-Q-43), seguido de Meta en marzo de 2023 y Qihoo 360 en noviembre de 2023 (atribuyendo a APT-C-52).
Te podrá interesar leer: Riesgos en Aplicaciones:¿Cómo evitar el Malware Móvil?
Espionaje en dispositivos Android
Un investigador especializado descubrió 12 aplicaciones maliciosas para dispositivos Android que contenían el código RAT VajraSpy, seis de las cuales se encontraban disponibles en Google Play, donde se descargaron aproximadamente 1.400 veces.
Las aplicaciones que estuvieron disponibles en Google Play incluyen:
- Rafaqat رفاقت (noticias)
- Privee Talk (mensajería)
- MeetMe (mensajería)
- Let's Chat (mensajes)
- Quick Chat (mensajería)
- Chit Chat (mensajería)
Las aplicaciones VajraSpy que se encontraban fuera de Google Play eran todas aplicaciones de mensajería falsas, como:
- Hello Chat
- yohootalk
- TikTalk
- Nido
- GlowChat
- Wave Chat
Dado que las tiendas de aplicaciones de terceros no informan recuentos de descargas, se desconoce la cantidad de personas que las han instalado a través de estas plataformas. Según el análisis de telemetría, la mayoría de las víctimas se encuentran en Pakistán e India, y es probable que hayan sido engañadas para instalar aplicaciones de mensajería falsas mediante una estafa romántica.
VajraSpy es un software espía y RAT que admite varias funcionalidades de espionaje, incluyendo:
- Recopilar y transmitir datos personales desde el dispositivo infectado, incluidos contactos, registros de llamadas y mensajes SMS.
- Interceptación y extracción de mensajes de aplicaciones de comunicación cifradas populares como WhatsApp y Signal.
- Grabación de llamadas telefónicas para permitir la escucha de conversaciones privadas.
- Activación de la cámara del dispositivo para tomar fotografías, convirtiéndolo en una herramienta de vigilancia.
- Interceptación de notificaciones de varias aplicaciones en tiempo real.
- Búsqueda y extracción de documentos, imágenes, audio y otros tipos de archivos.
Conoce más sobre: Spyware: ¿Qué es y Cómo Detectarlo?
La potencia de VajraSpy se debe a su naturaleza modular y su capacidad de adaptarse, y el alcance de sus capacidades de espionaje depende de los permisos obtenidos en un dispositivo infectado. Se advierte a los usuarios que eviten descargar aplicaciones de chat recomendadas por personas desconocidas, ya que esta táctica es común entre los ciberdelincuentes para infiltrarse en dispositivos.
A pesar de las nuevas políticas de Google Play para prevenir la ocultación de malware en aplicaciones, los actores de amenazas continúan introduciendo sus aplicaciones maliciosas en la plataforma.
Campañas anteriores, como la campaña de adware de octubre que acumuló 2 millones de instalaciones, tuvieron un rendimiento mucho mejor que esta campaña de software espía VajraSpy. Además, se descubrió que el malware de robo de información SpyLoan se descargó 12 millones de veces desde Google Play en 2023.
Te podrá interesar: SpyLoan: El malware en Google Play descargado 12 millones de veces
Conclusión
La seguridad en Google Play es un tema de constante preocupación, con nuevas aplicaciones maliciosas emergiendo regularmente. La clave para protegerse radica en la precaución y la educación sobre los riesgos potenciales.
Mantenerse seguro en línea es un esfuerzo continuo, especialmente en plataformas tan dinámicas como Google Play. Aunque Google realiza esfuerzos significativos para filtrar aplicaciones maliciosas, los usuarios deben adoptar un papel activo en la protección de sus dispositivos. Al estar atentos y ejercer una diligencia razonable, los usuarios pueden navegar por el ecosistema de aplicaciones con confianza, asegurando que sus experiencias digitales permanezcan seguras y positivas.