Google alertó de un nuevo software espía ('spyware') comercial que se dirige contra usuarios de dispositivos iOS y Android y del que ya se han identificado víctimas en Italia y Kazajistán. La nueva amenaza se vinculó a un vendedor italiano, RCS Labs, y tiene como primer vector de infección la descarga de una aplicación maliciosa, hecho que sucede después de que la potencial víctima recibe un enlace y accede a él.
El enlace avisa al usuario de un supuesto problema con su cuenta en un servicio conocido, como Facebook o Instagram, o con la conectividad de datos móviles. En este último caso, simula ser un proveedor de Internet conocido. Esta estrategia de ataque se dirige contra usuarios tanto de iOS como de Android, como advierten desde Google en su blog oficial, y por el momento se identificaron víctimas en dos países: Italia y Kazajistán.
En el caso del primer sistema operativo, la 'app' maliciosa se instala dentro del sandbox de iOS y está sujeta a los mecanismos de privacidad y seguridad que exige Apple. Sin embargo, desde Google alertan de que esta 'app' para iOS se puede descargar al margen de la App Store, donde ni siquiera creen que haya estado disponible. Y contiene varios exploits con los que da acceso a información del dispositivo.
En Android, el enlace busca la instalación de un archivo apk, que exige la instalación de aplicaciones de fuentes desconocidas y que, pese a no contener exploits, puede activar su instalacion. La aplicación en este caso adopta la imagen de una app' legítima de Samsung y solicita acceso a numerosos elementos y ajustes del teléfono, como la localización, la lectura de SMS o el estado de la conectividad.
La compañía afirma que para proteger a los usuarios de Android han implementado cambios en Play Protect, para que alerte de la presencia de estas aplicaciones maliciosas. "Esta campaña es un buen recordatorio de que los atacantes no siempre usan exploits para obtener los permisos que necesitan. Los vectores de infección básicos y las descargas automáticas aún funcionan y pueden ser muy eficientes con la ayuda de los ISP locales.", apunta la compañía.
Y resaltaron: "Para proteger a nuestros usuarios, advertimos a todas las víctimas de Android, implementamos cambios en Google Play Protect y deshabilitamos los proyectos de Firebase utilizados como C2 en esta campaña"
Cerrar sesión