Se ha descubierto un nuevo virus en móviles Android con la apariencia de Telegram que ha sido creado para leer tus mensajes, espiarte, grabar tus llamadas y hacer lo que quieran con los datos que han obtenido sin que tú te enteres.
Si sospechas que puedas haber sido víctima de este virus, te cuento en qué consiste y cómo funciona para que tengas más claro cómo debes actuar o si se trata de una falsa alarma. Te adelanto que una de las formas de evitar este virus en concreto es tener la app de Telegram original instalada.
Esta falsa app es un peligro
El grupo de hackers StrongPity APT ha creado una aplicación troyana de chat Shagle falsa sobre la base de la app de Telegram para Android incluyendo una puerta trasera para espiar a usuarios Android. Shagle es una plataforma de chat de video aleatorio que permite a extraños hablar por medio de un canal de comunicación encriptado, la cual no tiene una app móvil.
Estos hackers han aprovechado la situación para crear una web falsa desde 2021 haciéndose pasar por este sitio para engañar a los usuarios de móviles Android para que se infecten con el virus y así espiarles. Puede que lleve captando nuevas víctimas desde entonces y aún sigue siendo un peligro a día de hoy.
No sabemos cómo captan a nuevas víctimas para que lleguen a la web falsa de Shagle, aunque puede que sea por medio de mensajes privados, phishing por SMS, emails de phishing selectivo y otras técnicas. Cuidado porque podría ser de cualquier manera y con diferentes técnicas pensadas para engañar.
La actividad más reciente de StrongPity fue descubierta por investigadores de ESET, quienes atribuyeron la campaña al grupo APT basándose en similitudes de código con cargas útiles anteriores. La app también está firmada con el mismo certificado usado por los hackers que usaron en una app que imitaba la aplicación de Android del gobierno electrónico sirio en una campaña de 2021.
Aunque la versión analizada del malware no está activa en el momento en que lo han investigado y la puerta trasera no se pudo instalar y activar con éxito, esto podría cambiar en cualquier momento, ¡así que cuidado!
¿En qué consiste y cómo puede afectarte?
La aplicación maliciosa de Android distribuida por StrongPity consiste en un archivo APK llamado «video.apk», app estándar de Telegram v7.5.0 de febrero de 2022 modificada para hacerse pasar por una app móvil de Shagle.
El APK malicioso llega directamente desde el sitio falso de Shagle y nunca estuvo disponible en Google Play. Como usan Telegram de base para hacer esta app falsa, si tienes instalada la app de Telegram real no se instalará la versión con puerta trasera. Esto quiere decir que si ya tienes la famosa app de mensajería en tu teléfono, este virus no puede hacerte nada porque no podrás instalarlo.
Tras la instalación, el malware solicita acceso al Servicio de accesibilidad y obtiene un archivo cifrado con AES del servidor de comando y control del atacante. El archivo tiene 11 módulos binarios que se extraen en el móvil y se usan de puerta trasera, cada uno de ellos tiene un objetivo malicioso.
Pueden ver el contenido de notificaciones de diferentes apps como Instagram, Twitter, Viber, Messenger y muchas otras. Los datos recopilados se almacenan en el directorio de la aplicación, se cifran con AES y se envían a los hackers.
Si instalas esta aplicación, pueden espiarte, lo que quiere decir que pueden acceder a tus contactos, recopilar tus SMS y monitorear tus llamadas, entre otras cosas. Harán lo que quieran con tus datos.
Por eso, ten cuidado con los APK que obtienes fuera de la tienda de aplicaciones de Android y mira los permisos que tienes que confirmar al instalar nuevas apps. Si una no es de tu total confianza, no la instales.