Detectan app capaz robar llamadas y conocer tu ubicación

Ciberdelincuentes han distribuido una aplicación de chat fraudulenta de nombre SafeChat, que contiene un ‘spyware’ , el cual puede robar registros de llamadas, acceder a los mensajes de texto y a las ubicaciones de los teléfonos infectados.

Así lo han podido comprobar los investigadores de CYFIRMA, que han encontrado este tipo de ataques en la región del sur de Asia, donde estaría operando el grupo de APT Bahamut, grupo al que se vincula esta app fraudulenta, aunque también se han detectado “rastros de técnicas usadas por DoNot APT”.

Este nuevo ‘malware’, identificado como Coverlm, exhibe un mecanismo parecido a otro de DoNot APT distribuido a través de Google Play. Al contrario que este último, no obstante, “tiene más permisos y, por tanto, presenta un mayor nivel de amenaza”, según indica la firma de ciberseguridad.

Coverlm se encuentra integrado en la app de chat fraudulenta SafeChat, que a su vez se distribuye mediante WhatsApp y que permite que los actores de amenazas extraigan toda la información que se necesita de los dispositivos infectados antes de que se percaten de que se trata de una ‘app’ fraudulenta, indica Fayer Wayer.

Según la investigación de CYFIRMA, una vez se ha instalado esta aplicación, se coloca en el menú principal con un icono de acceso directo. Una vez abierta, se informa al usuario de que está iniciando una app de chat segura.

Después, se solicita al usuario que habilite un permiso para optimizar la batería mientras se está usando, así como para permitir su funcionamiento en un segundo plano. De esta manera, la aplicación seguirá funcionando independientemente de si se ha minimizado o cerrado. Además, este permiso permitirá que el comando y el control se comuniquen libremente con la aplicación.

SafeChat abrirá, una vez otorgados estos permisos, una página de registro en la que se dispone un formulario con campos como el ‘nombre’, ‘nombre de usuario’, ‘contraseña’ y ‘confirmar contraseña’. Tras completarlo, la ‘app’ vuelve a pedir el permiso expreso de la víctima.

Según el análisis de esta firma de seguridad, esta aplicación fraudulenta puede realizar un seguimiento de la ubicación, recopilar y archivar datos de las víctimas, acceder y guardar el registro de llamadas y los mensajes SMS, así como conocer la lista de contactos actualizada.