Los investigadores de seguridad de la compañía Cyfirma han informado sobre una sofisticada campaña de malware para Android que se hace pasar por una popular herramienta de mensajería instantánea.
El malware estaría camuflado como la aplicación de chat Tanzeem. Sin embargo, una vez instalada su funcionamiento queda interrumpido.
Para su instalación la app pide extensos permisos con el fin de acceder a datos confidenciales de los usuarios y funciones del dispositivo.
Así, solicita el acceso a registros de llamadas, contactos, mensajes SMS, almacenamiento de archivos y datos de ubicación precisos. Igualmente, pide permiso para extraer correos electrónicos y nombres de usuario utilizados para iniciar sesión.
La campaña maliciosa ha sido atribuida al grupo de amenazas persistentes avanzadas (APT) DONOT, el cual estaría vinculado a los intereses nacionales de India.
Los objetivos potenciales son usuarios del Sur de Asia, concretamente, de la región de Cachemira.
Técnicas avanzadas
Desde Cyfirma han recogido dos muestras idénticas prácticamente en octubre y diciembre, lo que lleva a pensar que hay una campaña en curso.
Con la denominación de Tanzeem se alude a "organización" en urdu. Este término se asocia generalmente con grupos terroristas y agencias policiales en la región. Así, los analistas de la compañía señalan que el nombre apunta deja adivinar que su objetivo de ataque son individuos o grupos específicos tanto dentro como fuera de India.
El malware aprovecha OneSignal, una popular plataforma de interacción con el cliente. El grupo APT envía enlaces de phishing mediante notificaciones push, mejorando la persistencia del malware en los dispositivos infectados.
La amenaza se sirve de sofisticadas técnicas de evasión, incluida la ofuscación para ocultar el código malicioso dentro del APK. Tiene la capacidad de enumerar archivos y directorios, capturar pulsaciones de teclas, recopilar información del sistema e incluso grabar la pantalla del dispositivo.