Los investigadores de ESET han descubierto el primer spyware que se conoce hasta el momento y que ha sido creado sobre los cimientos del malware de código abierto AhMyth.
La aplicación maliciosa es llamada Radio Balouch, pero también ha sido conocida como RB Music, según las pesquisas.
Radio Balouch ha sido capaz de eludir el proceso de examinación de aplicaciones que realiza Google Play Store (GPS).
En realidad, se trata de una aplicación de transmisión de radio totalmente funcional para los entusiastas de la música de Balouchi, excepto por el hecho de que viene con una funcionalidad adicional oculta: el robo de datos personales de sus usuarios.
La app ha logrado superar los filtros y se ha colado en la tienda oficial de aplicaciones de Android dos veces, de acuerdo a lo explicado por Lukas Stefanko, investigador de malware en ESET.
Sin embargo, ha informado que GPS la ha eliminado rápidamente en ambas ocasiones después de alertar a la empresa.
“AhMyth, la Herramienta de Acceso Remoto de código abierto de la cual la aplicación Radio Balouch tomó prestada su funcionalidad maliciosa, está disponible de manera pública desde fines de 2017”.
Desde entonces, Stefanko ha comentado que han sido testigos de varias apps maliciosas basadas en AhMyth; no obstante, la aplicación Radio Balouch es la primera en aparecer en la tienda oficial de aplicaciones de Android.
Dijo que la solución ESET Mobile Security ha estado protegiendo a los usuarios de AhMyth y sus derivados, incluso, antes de que se hiciera pública.
A su juicio, se ha hecho simple identificar la aplicación Radio Balouch y otros derivados como maliciosa, así como clasificarlos como pertenecientes a esta familia, debido a que la funcionalidad maliciosa en AhMyth no está oculta, protegida u ofuscada.
Spyware en todos lados
El malware detectado por ESET como Android/Spy.Agent.AOX, además de GPS, ha estado disponible en tiendas de aplicaciones alternativas. También, según Stefanko, ha sido promocionado en un sitio web dedicado, a través de Instagram y YouTube.
“Hemos informado sobre la naturaleza maliciosa de la campaña a los proveedores de servicios respectivos”.
Ha explicado que Radio Balouch es una app de streaming de radio, totalmente funcional, para música específica de la región de Balouchi, más común Balochi o Baluchi. No obstante, en el fondo su intención es espiar a sus víctimas.
Los investigadores han descubierto diferentes versiones del spyware Radio Balouch en Google Play Store, en dos oportunidades, y en cada caso la app presentaba más de 100 instalaciones.
“El 2 de julio de 2019 reportamos al equipo de seguridad de Google la primera aparición de esta aplicación en la tienda oficial de Android y fue retirada dentro de las 24 horas siguientes”.
El día 13 de julio, sin embargo, la app maliciosa de Radio Balouch volvió a aparecer en Google Play. ESET, una vez detectada, inmediatamente volvió a reportar su presencia y rápidamente fue eliminada por Google.
Se ha podido conocer que la app de radio maliciosa solo ha estado disponible en tiendas de aplicaciones de terceros después de ser eliminada de Google Play Store.
“También se ha estado distribuyendo desde un sitio web dedicado, radiobalouch[.]com y a través de un enlace promocionado desde una cuenta de Instagram relacionada”.
Este servidor, de acuerdo al investigador de malware, igualmente se ha utilizado para las comunicaciones del spyware con el C&C (Centro de Comando y Control). Se ha determinado que el dominio fue registrado el 30 de marzo de 2019 y que, poco después de ser reportado, el sitio fue bajado y aún sigue así al momento de la publicación del anuncio.
La cuenta de Instagram de los atacantes, sin embargo, aún sirve un enlace a la aplicación que se eliminó de Google Play Store.
Funcionalidad de la aplicación maliciosa
La funcionalidad de radio por Internet viene empaquetada junto a la funcionalidad de AhMyth dentro de la aplicación maliciosa.
El componente de radio por Internet, después de la instalación, es completamente funcional y reproduce una transmisión de música Balouchi.
En el ínterin, la funcionalidad maliciosa agregada permite robar contactos a la aplicación, recolectar archivos almacenados en el dispositivo y enviar mensajes SMS desde el dispositivo afectado.