ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha analizado una nueva versión de spyware en Android utilizada por el grupo de delincuentes APT-C-23. El nuevo malware, detectado por los productos de ESET como Android/SpyC23.A, está diseñado sobre otras versiones de spyware con funcionalidades extendidas de espionaje, nuevas funcionalidades de ocultación y una comunicación actualizada con el servidor de mando y control.
Una de las maneras en las que el grupo APT-C-23, activo desde 2017 y conocido por sus ataques a organizaciones en Oriente Medio, distribuye este spyware es a través de aplicaciones falsas de mensajería como Threema o Telegram desde una tienda falsa de aplicaciones para Android.
Los investigadores de ESET comenzaron a analizar este malware a partir de un tweet publicado el pasado mes de abril por un investigador y en el que se hablaba de una muestra de malware para Android desconocida y poco detectada. “Colaboramos en un análisis que demostró que este malware era parte de una versión nueva y mejorada del spyware móvil que utiliza el grupo APT-C-23”, explica Lukas Stefanko, el investigador de ESET que ha analizado Android/SpyC23.A.
El spyware se ocultaba como una aplicación aparentemente legítima en una tienda falsa de aplicaciones para Android. “Cuando analizamos la tienda falsa, encontramos aplicaciones legítimas y otras maliciosas. El malware se escondía en aplicaciones que se hacían pasar por Telegram, Threema y AndroidUpdate. En algunos casos, las víctimas acababan instalando tanto el malware como la aplicación falsa”, continúa Stefanko.