Advertencia sobre campaña para convertir teléfonos Android en herramientas de espionaje

Los piratas informáticos utilizan un truco conocido pero extremadamente efectivo: crear versiones falsas de las aplicaciones más populares, como WhatsApp, TikTok, Google Photos y YouTube, para engañar a los usuarios para que las instalen.

La campaña utiliza una combinación de canales de Telegram y sitios web de phishing para difundir el malware.

Según un informe de la empresa de ciberseguridad Zimperium, la cadena de ataque de ClayRat estuvo muy bien orquestada.

En primer lugar, los usuarios son atraídos a sitios web falsos que prometen ofrecer versiones “Plus” de la aplicación con funciones premium como YouTube Plus.

Desde estos sitios, las víctimas son dirigidas a canales de Telegram controlados por los atacantes, donde utilizan trucos como inflar artificialmente los números de descargas y promover testimonios falsos para que la aplicación parezca confiable.

Luego, se engaña a la víctima para que descargue e instale un archivo APK que contiene el malware ClayRat.

"Una vez infiltrado con éxito, este spyware puede robar mensajes SMS, registros de llamadas, notificaciones e información del dispositivo; tomar fotos secretamente con la cámara frontal e incluso enviar mensajes o realizar llamadas automáticamente desde el propio dispositivo de la víctima", dijo el experto en ciberseguridad Vishnu Pratapagiri de Zimperium Company.

Lo más aterrador de ClayRat no es solo el robo de datos. Diseñado para replicarse, el malware envía automáticamente enlaces maliciosos a todos los contactos de la víctima, convirtiendo el teléfono infectado en un nodo de propagación de virus, lo que permite a los atacantes escalar sin intervención manual.

En los últimos 90 días, Zimperium ha detectado no menos de 600 muestras de malware y 50 aplicaciones "señuelo", lo que demuestra que los atacantes están mejorando constantemente, añadiendo nuevas capas de camuflaje para evadir el software de seguridad.

Superando barreras

Para dispositivos con Android 13 o superior y medidas de seguridad más estrictas, ClayRat utiliza un truco más sofisticado. La aplicación falsa aparece inicialmente como un simple instalador.

Cuando se inicia, muestra una pantalla de actualización falsa de Play Store, mientras descarga e instala silenciosamente el principal malware encriptado que se esconde en su interior.

Una vez instalado, ClayRat le pedirá al usuario que otorgue permiso para convertirse en la aplicación de SMS predeterminada para que pueda acceder y controlar completamente los mensajes y registros de llamadas.

La aparición de ClayRat es parte de una tendencia más preocupante en materia de seguridad en todo el ecosistema Android.

Recientemente, un estudio de la Universidad de Luxemburgo también mostró que muchos teléfonos inteligentes Android baratos vendidos en África tienen aplicaciones preinstaladas que funcionan con altos privilegios, enviando silenciosamente datos de identificación y ubicación de los usuarios a terceros.

Google dijo que los usuarios de Android estarán protegidos automáticamente contra las versiones conocidas de este malware a través de Google Play Protect, una función que está habilitada de forma predeterminada en los dispositivos con Google Play Services.

Sin embargo, la amenaza de nuevas variantes y fuentes de instalación no oficiales sigue siendo una advertencia para todos los usuarios.

Fuente: https://dantri.com.vn/cong-nghe/canh-bao-chien-dich-bien-dien-thoai-android-thanh-cong-cu-gian-diep-20251013135854141.htm