Process Manager es el nombre de un nuevo malware que es capaz de robar datos, así como grabar audio y rastrear la ubicación, mientras trabaja en segundo plano en dispositivos con sistema operativo Android.
La firma de inteligencia de amenazas Lab52 ha identificado este agente malicioso, que utiliza la misma infraestructura de alojamiento compartido utilizada por un grupo de ciberdelincuentes de origen ruso llamado Turla.
Por el momento, se desconoce si Process Manager está respaldado por Turla o si tiene alguna conexión o relación directa con esta campaña, también conocida como Snake o Uroburos.
Este software, que también es de origen ruso, llega a los dispositivos a través de un archivo APK malicioso que funciona como spyware en Android y roba datos en un segundo plano, sin el conocimiento de los usuarios.
Según han determinado los investigadores, una vez instalada la aplicación, se coloca en el menú de aplicaciones y muestra un ícono de un engranaje, que los usuarios pueden llegar a confundir con el menú de Configuración.
Además, cuando se ejecuta por primera vez en el dispositivo, exige un total de 18 permisos para acceder a la ubicación del teléfono, al bloqueo y desbloqueo de pantalla, a la información de las redes WiFi o a los sensores de la cámara incorporados en el terminal.
Otros de los permisos que solicita esta aplicación es el acceso a las llamadas telefónicas o la información de los contactos y puede iniciar la aplicación cuando el dispositivo está encendido, enviar SMS, escribir en la tarjeta de memoria o leer dispositivos de almacenamiento externo.
Una vez se haya abierto la aplicación por primera vez, se elimina su ícono del menú de aplicaciones y se ejecuta en un segundo plano, ya que aparece en la barra de notificaciones.
De ese modo, además de robar información confidencial, es capaz de hacer fotos o videos, así como grabar audio desde la grabadora de voz que habitualmente viene preinstalada en estos móviles.
En este caso, la aplicación consigue extraer estas grabaciones en formato mp3 en el directorio del caché y, junto con el resto de datos, los envía en formato JSON a un servidor localizado en Rusia.
Por el momento, se desconoce de dónde procede este malware, pero los investigadores han encontrado indicios en otra aplicación llamada Ro Dhan: Earn Wallet Cash, que hasta ahora estaba disponible en Google Play.
Malware que roba dinero de Bitcoin
Cabe recordar que el pasado 28 de marzo se informó también de un software malicioso que se hace pasar por una cartera (o wallet) de criptomonedas para robar bitcoin a los usuarios infectados en iOS y Android.
Según un estudio publicado por la firma de ciberseguridad ESET y llevado a cabo por ESET Research, se han descubierto desde mayo de 2021 “decenas de ‘apps’ de carteras de criptos troyanizadas”.
Dichas aplicaciones se ofrecían en sitios web que copiaban a las páginas reales, entre las que destacan Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket, y OneKey.
TeaBot: Alerta por peligroso malware para Android que afectó a varios bancos en Europa
Desde ESET hablan de un ataque “sofisticado” puesto que no solo han sido capaces de “insertar su código malicioso en sitios donde sería difícil de detectar”, sino que además se han asegurado de diseñar aplicaciones “que tengan las mismas funciones que las originales”.
Algunas de estas apps maliciosas envían además frases semilla (conjuntos de entre 12 y 24 palabras para acceder a una cartera de criptos) de sus víctimas al servidor del atacante mediante una conexión HTTP insegura, es decir, que los fondos no solo pueden ser robados por el ciberdelincuente original sino por otro hacker que esté operando en la misma red.
En total, ESET Research afirma haber identificado más de 40 webs falsas que tienen como “único objetivo” los usuarios de móvil, que se promocionan en sitios “legítimos” mediante el uso de “artículos engañosos”.
La investigación también concluye que esta amenaza se expandirá en el futuro teniendo en cuenta que “se está reclutando a intermediarios desde grupos de Telegram y Facebook” para distribuir el malware, ofreciendo a cambio una comisión de hasta el 50 % de los fondos robados.
A esto se suma el hecho de que “el código fuente de la amenaza ha sido filtrado y compartido en algunas webs chinas, lo cual puede atraer” a otros y “contagiarla aún más”.
Con esta información sobre la mesa, la firma cree que lo “más probable” es que sea obra de “un grupo criminal”, en lugar de un solo individuo. Además, observan que el objetivo principal están siendo los usuarios chinos, aunque no descartan que “estas técnicas se extiendan a otros mercados” dada la popularidad de las criptomonedas.