Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023.
Descubrimiento del malware
El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones se cargaron en Google Play, y se descargaron aproximadamente 1,400 veces antes de ser eliminadas.
Las aplicaciones disfrazadas como aplicaciones de mensajería o noticias incluyen:
- Rafaqat رفاقت (noticias)
- Privee Talk (mensajería)
- MeetMe (mensajería)
- Charlemos (mensajes)
- Chat rápido (mensajería)
- Chit Chat (mensajería)
Descripción de VajraSpy
VajraSpy es un software espía y RAT que realiza diversas funciones de espionaje, centradas en el robo de datos. Sus capacidades incluyen:
- Recopilación y transmisión de datos personales como contactos, registros de llamadas y mensajes SMS.
- Interceptación y extracción de mensajes de aplicaciones de comunicación cifradas como WhatsApp y Signal.
- Grabación de llamadas telefónicas para permitir la escucha de conversaciones privadas.
- Activación de la cámara del dispositivo para tomar fotos, convirtiéndolo en una herramienta de vigilancia.
- Interceptación de notificaciones de varias aplicaciones en tiempo real.
- Búsqueda y extracción de documentos, imágenes, audio y otros tipos de archivos.
Extensión y adaptabilidad de VajraSpy
La potencia de VajraSpy radica en su naturaleza modular y su adaptabilidad. La amplitud de sus capacidades de espionaje está determinada por los permisos que obtiene en un dispositivo infectado.
Recomendaciones y conclusiones
ESET aconseja a los usuarios que se abstengan de descargar aplicaciones de chat poco conocidas recomendadas por personas desconocidas, ya que esto es una táctica común utilizada por ciberdelincuentes para infiltrar dispositivos.
Tendencias en Google Play
A pesar de las nuevas políticas de Google Play que dificultan que el malware se oculte en aplicaciones, los actores de amenazas continúan introduciendo sus aplicaciones maliciosas en la plataforma. Campañas anteriores tuvieron un desempeño superior a la actual campaña de espionaje de VajraSpy.
Otros casos recientes
En un caso anterior, se descubrió que el malware de robo de información SpyLoan se descargó 12 millones de veces desde Google Play en 2023.
Actualización 2/2 – Comentario de Google
Un portavoz de Google envió el siguiente comentario: “Tomamos en serio las reclamaciones de seguridad y privacidad contra las aplicaciones, y si descubrimos que una aplicación ha violado nuestras políticas, tomamos las medidas adecuadas. Los usuarios están protegidos por Google Play Protect, que puede advertir a los usuarios sobre aplicaciones conocidas por exhibir este comportamiento malicioso en dispositivos Android con servicios de Google Play, incluso cuando esas aplicaciones provienen de fuentes fuera de Play.”
Prevención de Re-infección
Después de la limpieza, para evitar la re-infección de PurpleFox, que es muy probable si aún hay máquinas infectadas en la misma red, habilitar el firewall en Windows y crear una regla para bloquear el tráfico entrante desde los puertos 135, 137, 139 y 445.