NOTA DEL MES Y DE LA OSRI
El Equipo de Respuesta de Incidentes de Ciberseguridad de la Oficina de Seguridad para las Redes Informáticas (OSRI), ha recibido información proveniente de diversas fuentes sobre MODs de WhatsApp con spyware.
Los MODs, son versiones modificadas de WhatsApp que ofrecen funciones extras, pero sin quedar exentos de producir riesgos en las cuentas de los usuarios. Por esta razón no son recomendables utilizarlos y solamente descargar la aplicación oficial.
Los desarrolladores externos crean modificaciones o MODs de las aplicaciones estándar de WhatsApp y Telegram para satisfacer incluso las necesidades más peculiares de los usuarios, y existen muchísimos MODs.
Los expertos de Kaspersky han encontrado recientemente varios de estos MODs infectados, que veremos en esta publicación.
MODs de WhatsApp infectados en Telegram
Los MODs de WhatsApp que llamaron la atención de los expertos no habían mostrado previamente ninguna actividad maliciosa. Ahora, sin embargo, contienen un módulo espía que las soluciones de seguridad de kaspersky detectan como Trojan-Spy.AndroidOS.CanesSpy.
Después de la instalación en el teléfono inteligente de la víctima, un MOD de WhatsApp infectado espera a que el teléfono se encienda o se cargue antes de iniciar el módulo de espionaje. Se contacta con uno de los servidores de Control y Comando (C2) de la lista respectiva que da órdenes a dispositivos infectados con malware y carga información diversa sobre el dispositivo, como el número de teléfono, el número de IMEI, el código de red móvil, etc. Además, el troyano espía envía información sobre los contactos y las cuentas de la víctima al servidor cada cinco minutos, mientras espera comandos.
Dejando de lado los comandos de servicio, las capacidades del módulo de espionaje se reducen esencialmente a dos funciones:
- Buscar en el dispositivo y enviar a sus operadores los archivos contenidos en la memoria del teléfono inteligente (para ser precisos, en su parte no perteneciente al sistema, o «almacenamiento externo» en la terminología de Android).
- Grabar el sonido desde el micrófono integrado y, como antes, enviar las grabaciones a C2.
En cuanto a cómo se distribuyó el spyware, se encontraron modificaciones de WhatsApp infectadas en varios canales de Telegram árabes y azerbaiyanos con los nombres de MODs populares: GBWhatsApp, WhatsApp Plus y AZE PLUS, una versión de WhatsApp Plus con la interfaz traducida al azerí. Además, se descubrieron archivos APK infectados con el módulo de espionaje en los sitios web de descarga de MODs de WhatsApp.
Cómo protegerte contra el spyware en los servicios de mensajería instantánea
- Usa solo las aplicaciones oficiales de WhatsApp y Telegram. Como hemos visto, los MODs de servicios de mensajería instantánea son propensos al malware.
- Instala aplicaciones solo de tiendas oficiales: App Store de Apple, Google Play, Huawei AppGallery y similares. Estas no son inmunes al malware, pero siguen siendo mucho más seguras que los sitios web de terceros, que a menudo no tienen ninguna medida de seguridad.
- Antes de instalar cualquier aplicación, primero analiza su página en la tienda y asegúrate de que no sea falsa; los malhechores a menudo crean clones de aplicaciones populares.
- Lee las opiniones de los usuarios sobre la aplicación, prestando especial atención a las negativas. Allí probablemente sabrás si demuestra actividad sospechosa.
- Asegúrate de instalar una protección fiable en todos tus dispositivos. Esto detectará el código malicioso dentro de una aplicación aparentemente inofensiva y te advertirá a tiempo.
En espera de su atención,
Equipo de Respuesta a Incidentes Computacionales de Cuba
OSRI