Así lo han podido comprobar los investigadores de CYFIRMA, que han localizado este tipo de ataques en la región del sur de Asia, donde estaría operando el grupo de APT Bahamut, grupo al que se vincula esta app fraudulenta, aunque también se han detectado “rastros de técnicas utilizadas por DoNot APT”.
Lea más: Expertos alertan de más de 200 enlaces sospechosos en la red Threads en últimas 24 horas
Este nuevo ‘malware’, identificado como Coverlm, exhibe un mecanismo similar a otro de DoNot APT distribuido a través de Google Play.
Al contrario que este último, no obstante, “tiene más permisos y, por tanto, presenta un mayor nivel de amenaza”, según la firma de ciberseguridad.
Coverlm está integrado en la aplicación de chat fraudulenta SafeChat, que a su vez se distribuye a través de WhatsApp y que permite que los actores de amenazas extraigan toda la información necesaria de los dispositivos infectados antes de que se percaten de que se trata de una ‘app’ fraudulenta.
Detectan una app de chat en una aplicación
Según la investigación de CYFIRMA, una vez se ha instalado esta aplicación, se coloca en el menú principal con un icono de acceso directo. Una vez abierta, se notifica al usuario de que está iniciando una aplicación de chat segura.
A continuación, se solicita al usuario que habilite un permiso para optimizar la batería mientras se está utilizando, así como para permitir su funcionamiento en un segundo plano.
De ese modo, la aplicación continuará funcionando independientemente de si se ha minimizado o cerrado. Además, este permiso permitirá que el comando y el control se comuniquen libremente con la aplicación.
SafeChat abrirá, una vez otorgados estos permisos, una página de registro en la que se dispone un formulario con campos como el ‘nombre’, ‘nombre de usuario’, ‘contraseña’ y ‘confirmar contraseña’. Tras completarlo, la ‘app’ vuelve a solicitar el permiso expreso de la víctima.
Según el análisis de esta firma de seguridad, la aplicación fraudulenta es capaz de hacer un seguimiento de la ubicación, recopilar y archivar datos de las víctimas, acceder y guardar el registro de llamadas y los mensajes SMS, así como conocer la lista de contactos actualizada.