Por medio de una investigación, se ha descubierto en su totalidad una nueva variante de malware de vigilancia para smartphones que se estima que fue desarrollado por un contratista ruso y sancionado por interferir las elecciones presidenciales de 2016 en Estados Unidos.
Apodado como Monokle, el troyano móvil de acceso remoto (RAT), tiene por objetivo a usuarios Android, y ha estado operativo al menos desde marzo de 2016, esta amenaza se utiliza principalmente en ataques dirigidos contra un número limitado de personas.
Según los investigadores de seguridad a cargo del análisis, el malware posee una amplia gama de funciones de espionaje y utiliza técnicas avanzadas de exfiltración de datos, incluso sin requerir acceso root (o superusuario) al dispositivo de la víctima.
El malware abusa de los servicios de accesibilidad de Android para filtrar datos de una gran cantidad de aplicaciones populares de terceros, como Google Docs, Facebook Messenger, Whatsapp, WeChat y Snapchat, al leer texto que se muestra en la pantalla de un dispositivo en cualquier momento. Monokle también extrae diccionarios de texto predictivo definidos por el usuario, con el fin de "obtener una especie de diccionario con temas de interés", incluso tiene la característica de grabar la pantalla del teléfono durante un evento de desbloqueo de pantalla para comprometer el PIN, el patrón o la contraseña del teléfono.
A continuación un resumen de las funcionalidades del malware, las cuales son:
- Grabar audio y llamadas
- Rastrear la ubicación del dispositivo
- Hacer grabaciones de pantalla
- Módulo de Keylogger y acceso al lector de huellas dactilares
- Recuperar el historial del navegador y llamadas
- Toma fotos, videos y capturas de pantalla
- Recuperar correos electrónicos, SMS y mensajes
- Robar contactos e información del calendario
- Hacer llamadas y enviar SMS, con el nombre de las víctimas.
- Ejecutar comandos shell arbitrarios, como usuario root.
Monokle contiene 78 comandos predefinidos diferentes, que los atacantes pueden enviar a través de SMS, llamadas telefónicas, intercambio de mensajes de correo electrónico a vía POP3, SMTP y conexiones TCP entrantes/salientes, indicando al malware que filtre los datos solicitados y los envíe a los servidores de comando y control de los atacantes.
Como se menciona en el título, los atacantes están distribuyendo Monokle a través de aplicaciones falsas de grandes compañías como Evernote, Google Play, Pornhub, Signal, UC Browser, Skype entre otras aplicaciones.
Además de Android, los investigadores encontraron algunas muestras de malware de Monokle, cuyo análisis reveló la existencia de versiones preliminares de iOS dirigidas a dispositivos Apple, a pesar de ello los expertos no encontraron evidencia de ninguna infección activa de iOS hasta el momento.
Dentro de los comandos encontrados, incluyen funciones de iOS para Keychain, las conexiones de iCloud, los datos del acelerómetro iWatch de Apple, permisos de iOS y otras funciones o servicios del sistema operativo móvil.
REFERENCIA
COMENTARIOS