PhoneSpy: el ciberataque basado en una aplicación que espía a los ciudadanos de Corea del Sur

Actualización 22 de noviembre de 2021: Se ha determinado que esta campaña específica ya no está activa. El servidor de mando y control ha sido desactivado y los dispositivos infectados ya no están bajo el control de los atacantes.

Muchas de las campañas de malware que hemos detectado durante el último año han sido a escala mundial y se han dirigido a cualquier persona sin tener en cuenta su ubicación. Recientemente, descubrimos y comenzamos a monitorear la actividad detrás de PhoneSpy, un software espía dirigido a los residentes de Corea del Sur con dispositivos Android. Con más de mil víctimas surcoreanas, el grupo malicioso detrás de esta campaña invasiva ha tenido acceso a todos los datos, comunicaciones y servicios en sus dispositivos.

A diferencia de otras campañas de spyware que hemos cubierto que se aprovechan de las vulnerabilidades del dispositivo, PhoneSpy se oculta a plena vista, disfrazándose como una aplicación regular con propósitos que van desde aprender yoga hasta mirar televisión y videos, o buscar fotos. Pero en realidad, la aplicación está robando datos, mensajes, imágenes y control remoto de teléfonos Android. Los datos robados de los dispositivos de las víctimas iban desde fotos personales hasta comunicaciones corporativas. Las víctimas estaban transmitiendo su información privada a los actores maliciosos sin ninguna indicación de que algo andaba mal.

Si bien las víctimas se han limitado a Corea del Sur, PhoneSpy es un ejemplo de cómo las aplicaciones maliciosas pueden ocultar su verdadera intención. Cuando se instalan en los dispositivos de las víctimas, dejan en riesgo los datos personales y corporativos. Dado que los dispositivos móviles desempeñan un papel fundamental en el trabajo remoto y distribuido, no sorprende que las campañas de spyware como PhoneSpy estén en aumento.

No se encontraron muestras de PhoneSpy en ninguna tienda de aplicaciones de Android, lo que indica que los atacantes están utilizando métodos de distribución basados ​​en la redirección del tráfico web o la ingeniería social.

Una vez que tienen el control, los atacantes pueden acceder a la cámara para tomar fotografías, grabar video y audio, obtener una ubicación GPS precisa, ver imágenes desde el dispositivo y más.

Zimperium zLabs identificó la aplicación de software espía PhoneSpy durante la investigación de amenazas de rutina, y el equipo de zLabs inició una investigación después de identificar varias aplicaciones maliciosas relacionadas.

Divulgación: Debido a la naturaleza de esta campaña de spyware, Zimperium ha notificado y enviado todos los datos de amenazas relevantes a las autoridades de EE. UU. y Corea del Sur. El equipo de Zimperium también informó al anfitrión del servidor de comando y control varias veces, ofreciendo apoyo en el desmantelamiento de los servicios maliciosos. En el momento de escribir este artículo, la campaña de software espía PhoneSpy sigue activa.

En este blog, haremos lo siguiente:

  • Cubre las capacidades del spyware de Android;
  • Discutir las técnicas utilizadas para recopilar y almacenar datos; y
  • Muestre la comunicación con el servidor C&C para exfiltrar los datos robados.

¿Qué puede hacer el software espía PhoneSpy?

La aplicación móvil representa una amenaza para los dispositivos Android al funcionar como un troyano de acceso remoto (RAT) avanzado que recibe y ejecuta comandos para recopilar y filtrar una amplia variedad de datos y realizar una amplia gama de acciones maliciosas, como:

  • Lista completa de las aplicaciones instaladas
  • Robar credenciales usando phishing
  • Robar imágenes
  • Monitoreo de la ubicación GPS
  • Robar mensajes SMS
  • Robar contactos telefónicos
  • Robar registros de llamadas
  • Grabar audio en tiempo real
  • Grabe video en tiempo real usando cámaras delanteras y traseras
  • Acceda a la cámara para tomar fotos usando las cámaras delantera y trasera
  • Enviar SMS al número de teléfono controlado por el atacante con texto controlado por el atacante
  • Extraer información del dispositivo (IMEI, marca, nombre del dispositivo, versión de Android)
  • Oculte su presencia ocultando el icono del cajón/menú del dispositivo

Tras la infección, el dispositivo móvil de la víctima transmitirá datos de ubicación GPS precisos, compartirá fotos y comunicaciones, listas de contactos y documentos descargados con el servidor de comando y control. Al igual que otros programas espía móviles que hemos visto, los datos robados de estos dispositivos podrían usarse para chantaje y espionaje personal y corporativo. Los actores malintencionados podrían luego producir notas sobre la víctima, descargar cualquier material robado y recopilar inteligencia para otras prácticas nefastas.

¿Cómo funciona el software espía PhoneSpy?

El software espía PhoneSpy se disfraza como varias aplicaciones de estilo de vida dirigidas a usuarios de habla coreana. Lo más probable es que se distribuya a través de la redirección del tráfico web o la ingeniería social, ya que no se ha detectado en las tiendas de Android, incluidas las tiendas regionales o de terceros. Después de la instalación, la aplicación solicita permisos y abre una página de phishing que imita la página de inicio de sesión de la popular aplicación de mensajería de Corea del Sur “Kakao Talk” para robar credenciales.

La aplicación sigue el comportamiento típico del spyware al solicitar permisos para ejercer sus capacidades.

Figuras.1,2: La lista de permisos solicitados por una de las aplicaciones

Después de la instalación y el lanzamiento, la aplicación muestra una página de inicio de sesión e intenta robar las credenciales de «Kakao», que se pueden usar para iniciar sesión en otros servicios en Corea del Sur con la función de inicio de sesión único.

Figuras.3-5: Las páginas de phishing alojadas por los actores de amenazas.

En la mayoría de las aplicaciones descubiertas, la interacción usuario/víctima de la aplicación se limita al inicio de sesión anterior, solo para recibir un mensaje de error. Muchas de las aplicaciones son fachadas de una aplicación real sin ninguna de las funciones anunciadas basadas en el usuario. En algunos otros casos, como aplicaciones más simples que se anuncian como visores de fotos, la aplicación funcionará como se anuncia mientras el spyware PhoneSpy funciona en segundo plano.

PhoneSpy el ciberataque basado en una aplicacion que espia a
Figura.6
: Carga dinámica de contenido desde el servidor remoto

Figuras.7-10: El sitio web de la galería falsa que muestra la aplicación y los archivos alojados en ella

Mientras estas acciones se llevan a cabo en primer plano, el software espía abusa de sus permisos y actúa como un troyano de acceso remoto, dejando el dispositivo abierto al acceso de los atacantes. El software espía se asegura de evitar la redundancia de datos cargando solo los últimos datos creados después de la última carga, como se ve en la Figura 11.

1660818797 198 PhoneSpy el ciberataque basado en una aplicacion que espia a
Figura.11
: Recopilación y exfiltración de datos SMS al servidor C&C

El servidor de comando y control almacena todos los datos extraídos y mantiene un canal de comunicación con los dispositivos infectados para enviar comandos.

La tabla de comandos y las acciones correspondientes se muestran en la Tabla.1.

Dominio Acción
0 Cargue información del teléfono, como número de teléfono, IMEI, versión de Android y nombre del modelo
1 Subir toda la lista de contactos
2 Eliminar una coincidencia de contacto por número de teléfono
3 Sube todos los SMS almacenados en el dispositivo
4 Cargue los últimos registros de llamadas desde la última carga
5 Sube todas las fotos de la sdcard
6 Sube todos los videos de la sdcard
7 Obtener ubicación GPS en tiempo real
8 Envíe un SMS a un número de teléfono con contenido, ambos como lo indique el servidor C&C
9 Tome fotos con la cámara frontal y cárguelas en el servidor C&C
10 Tome fotos con la cámara trasera y cárguelas en el servidor C&C
11 Transmisión de video en tiempo real usando la cámara frontal
12 Transmisión de video en tiempo real usando la cámara trasera
13 Establecer la duración de la grabación de audio en tiempo real
14 Sube los archivos de audio grabados
dieciséis Añadir desvío de llamadas
17 Eliminar el desvío de llamadas
18 Actualizar el desvío de llamadas
21 Eliminar la lista de bloqueo de un número de teléfono según lo indique el servidor de C&C
22 Agregue la lista de bloqueo de un número de teléfono según lo indique el servidor de C&C
24 Recopile la lista de aplicaciones instaladas, incluido el icono, la versión de la aplicación, el nombre del paquete y la fecha de actualización.
25 Desinstalar una aplicación que coincida con el nombre del paquete
28 Descargue un apk desde el enlace enviado por el servidor C&C e instale la aplicación como una actualización
30 Inserte el contacto con el nombre y el número de teléfono según lo indique el servidor de C&C
31 Eliminar todos los SMS almacenados en el dispositivo infectado
32 Eliminar todos los registros de llamadas almacenados en el dispositivo infectado
33 Abra una URL enviada por el servidor C&C que se utiliza para recopilar credenciales a través de phishing.

Tabla 1: Comandos admitidos y acciones asociadas

El servidor de comando y control tiene una interfaz basada en web y está protegido por un mecanismo de autenticación que usa credenciales, como se ve en la Figura 12.

1660818798 844 PhoneSpy el ciberataque basado en una aplicacion que espia a
Figura.12:
El panel de inicio de sesión del servidor C&C

la aplicación es capaz de desinstalar cualquier aplicación instalada por el usuario, incluidas las aplicaciones de seguridad móvil. La ubicación precisa del dispositivo está disponible en tiempo real para los actores maliciosos, todo sin que la víctima lo sepa. El spyware también permite que el actor de amenazas use páginas de phishing para recolectar credenciales de Facebook, Instagram, Google y Kakao Talk, al igual que las páginas de phishing que se muestran en las Figuras 13-15. El actor de amenazas usa el comando “33” para enviar una URL de phishing al dispositivo y PhoneSpy carga la página. Cualquier credencial ingresada en los formularios se envía de regreso al servidor de comando y control.

Figuras.13-15: Las páginas de phishing dirigidas a Facebook, Google e Instagram

1660818798 875 PhoneSpy el ciberataque basado en una aplicacion que espia a
Figura.16
: Una colección de íconos de algunas de las aplicaciones de spyware

Las víctimas de la campaña de software espía PhoneSpy

El equipo de investigación de amenazas móviles de Zimperium zLabs identificó 23 aplicaciones dirigidas a ciudadanos de Corea del Sur hasta la fecha, infectando a miles de víctimas de esta campaña de spyware. Estas aplicaciones maliciosas de Android están diseñadas para ejecutarse silenciosamente en segundo plano, espiando constantemente a sus víctimas sin levantar sospechas. Creemos que los actores malintencionados responsables de PhoneSpy han recopilado cantidades significativas de información personal y corporativa sobre sus víctimas, incluidas fotografías y comunicaciones privadas.

Aunque miles de víctimas de Corea del Sur han sido víctimas de la campaña de software espía, no está claro si tienen alguna conexión entre sí. Pero con la capacidad de descargar listas de contactos y enviar mensajes SMS en nombre de la víctima, existe una alta probabilidad de que los actores maliciosos estén apuntando a las conexiones de las víctimas actuales con enlaces de phishing.

1660818799 398 PhoneSpy el ciberataque basado en una aplicacion que espia a
Figura.17:
El mapa de la victimología

Zimperium frente al software espía PhoneSpy

Los clientes de Zimperium zips están protegidos contra PhoneSpy con nuestro dispositivo Defensa contra amenazas móviles z9 motor de aprendizaje automático.

Los clasificadores de phishing en el dispositivo de Zimperium detectan el tráfico del dominio https[:]//acd.kcpro.ga como malicioso desde el inicio con nuestra tecnología basada en el aprendizaje automático, bloqueando todo el tráfico y evitando que los atacantes tomen el control efectivo de los dispositivos comprometidos.

Todas las aplicaciones comprometidas y maliciosas encontradas también se revisaron utilizando la plataforma de análisis de aplicaciones de Zimperium, z3A. Todas estas aplicaciones devolvieron informes de altos riesgos de privacidad y seguridad para el usuario final. Los administradores de Zimperium pueden crear políticas de riesgo que impidan que los usuarios instalen aplicaciones de alto riesgo como PhoneSpy.

Los principales riesgos de privacidad identificados por nuestro análisis de servicio z3A Las aplicaciones infectadas de PhoneSpy son:

  • Acceso a mensajes SMS, cámara, registro de llamadas, contactos y ubicación, entre otros.
  • La capacidad de grabar audio, video e iniciar llamadas telefónicas.
  • Uso de la biblioteca MQTT, que se puede usar para rastrear al usuario.
  • Acceda a la información del dispositivo, como el número de teléfono, la identificación del dispositivo, si hay una llamada activa (y el número de teléfono con el que se está reteniendo la llamada).
  • Manipulación de llamadas, pudiendo modificar el número de teléfono que se está marcando.
  • Acceso de lectura/escritura a la tarjeta SD.
  • Claves API expuestas.

Clave Los principales riesgos de privacidad identificados por nuestro análisis de servicio z3A de las aplicaciones infectadas de PhoneSpy son:

  • Servicios expuestos sin permisos asignados.
  • WebView habilitado, que se puede usar para ejecutar código JavaScript.
  • Malware detectado por el motor z9.
  • La aplicación está construida con el indicador de depuración.
  • Uso de permisos a nivel de sistema y permisos de accesibilidad.
  • Puede modificar las conexiones WiFi.
  • Tener la capacidad de realizar ataques de superposición (una de las principales técnicas utilizadas por los troyanos bancarios).

Para asegurarse de que sus usuarios de Android estén protegidos contra el software espía PhoneSpy, le recomendamos una evaluación rápida de riesgos. Cualquier aplicación con PhoneSpy se marcará como una amenaza de aplicación sospechosa en el dispositivo y en zConsole. Los administradores también pueden revisar qué aplicaciones se cargan localmente en el dispositivo, lo que aumenta la superficie de ataque móvil y pone en riesgo los datos y los usuarios.

El impacto del software espía PhoneSpy en las empresas globales

La campaña de software espía PhoneSpy para Android pone a las empresas en tanto riesgo, si no más, que a los consumidores. El auge de las políticas de traiga su propio dispositivo (BYOD) ha difuminado la línea entre los datos laborales y los personales, y cualquier compromiso con la seguridad de un dispositivo conectado a la empresa pone en riesgo todos los datos corporativos. El spyware como PhoneSpy tiene la capacidad de leer mensajes corporativos, instalar versiones comprometidas de aplicaciones empresariales y descargar datos almacenados localmente, como documentos y fotos, sin que la empresa o el usuario final lo sepan. La capacidad de encender la cámara y el micrófono del móvil durante las reuniones en persona también es un alto riesgo para las empresas. Estas capacidades, combinadas con el marco común y el enfoque de PhoneSpy, pueden afectar la seguridad de una empresa, revelar datos críticos y privados y provocar la pérdida de clientes, investigaciones y datos.

Indicadores de compromiso

servidores C&C

  • 1.234.82[.]23
  • 1.234.82[.]31
  • 175.126.146[.]147
  • https[:]//acd.kcpro.ga

SHA-256 Hashes y nombres de aplicaciones

1b762680c64d851151a829e2679c68b4ea19aa825b6fe3866a191bf3d30fac70 Vídeos
4afbbc8247f0622bb7f40beeaff38083fe1514233c0e545b4ac11e17896548a2 Imagen
7ca71565ac1f57725606fd92033928fbd727b810cd507f9d7b0ca2c89853abcf televisión secreta
45d26f6d4a98ea352aa4411b861ddbee388546326567ce893124bbc8a0d1817b 영상 – videos
84d3e71dc27f7adfb9c6ac628dd240498059b82ec211c99e8ec63e3bc26240ba Yoga diario
95de5f5533e6f9a7562e50b4f68bd5ce71227f52a1a9c15ee734cdfb59b27f1d 갤러리 – Galería
208d68c431d58e6d311ae0f2574fab85a1205fc1597e10690116bf406eb5499c vera
3125ba3f8ad308f93ecc2e167d4f4ecfccc6a1212795ac615e593dceff1ca795 동영상 – Vídeos
4687ef5f6b9398f2bf3ac84011afce3979145a42f29d35e8fd3ad1b086699952 갤러리 – Galería
58195ad6606265c2d5d34f9b17d81daafc0a65551d8b83d9669a7e96ede786c1 내꺼사진 – Mi foto
70176c319aa4ca24c4cbfdf2b80a8d5ca430fc8370e2515b79f3c3c52ed58dc1 음성지원 – Soporte de voz
1568520923f992612163a69d074580885deec03f2727824407f0371cc295aec5 Galería
af5d676ceecd28c83b8962fc5db012cdada7812cddf856ae63f735a3efd695b7 갤러리 – Galería
b3132e4cd475c381f2ec384b9055ee11ae80b529dcc78f03629106e2d12a50f6 vera
b3333e2542a8d407d7ed6a2f0930d4372a84c9f95478d72ba1d6999c1c4ce74f 클라우드 – Nube
beeb1010ca571221b0aa8604f1bf078331b06e378384f8651552b13aa20c9389 야동 – Porno
c6793fcb9c647d0439a5bbeec46b5e24afc1e55b8e980669b3c1726d6556c72a vera
cf03a179b2b8d6a85a6ad3e5cd7405fe9a99c6ce89c6635d8c5d34bc9889b2ba Galería
d4b6a0055fbaec51c6a2d5edd29eec7768a27b40a6da94223ded28df3726487d 1004 Yoga
d797bf2b4fd7a2cd38da819996e57b39b89ad0e65a0d9633ea332d8234368ce3 갤러리 – Galería
d4428d5eb4f746b3d136d4dbeb3907c82a9ac7fa18efd037d616f2f11dc235ac 한나TV – Hannah TV
ef467f2389063e044237587ef12f8b0ae37d5b31c5b4efbf0928dfe5b648ed5a Galería
ef29420420802265d3958e05c33badad17d982309bd6f877d15475e64c793692 보안카메라 – Cámara de seguridad

Acerca de Zimperium

Zimperium proporciona la única plataforma de seguridad móvil especialmente diseñada para entornos empresariales. Con protección basada en el aprendizaje automático y una única plataforma que protege todo, desde las aplicaciones hasta los terminales, Zimperium es la única solución que proporciona defensa contra amenazas móviles en el dispositivo para proteger los entornos móviles en crecimiento y evolución. Para obtener más información o programar una demostración, Contáctenos Este Dia.

1660818799 436 PhoneSpy el ciberataque basado en una aplicacion que espia a

Deja un comentario