Conoce a Monokle, una familia de malware de Android capaz de robar y cambiar contraseñas

Conoce a Monokle, una familia de malware de Android capaz de robar y cambiar contraseñas
5 (100%) 7 votos

Monokle malware de Android

Special Technology Center (STC) es una empresa de desarrollo de software con sede en San Petersburgo, Rusia, y el gobierno estadounidense no ha estado particularmente satisfecho con él. En 2016, Barack Obama impuso sanciones a STC porque su administración creía que era una de las tres compañías que ayudó al gobierno ruso a interferir con las elecciones presidenciales de 2016 en Estados Unidos. Se cree que bastantes expertos sofisticados y talentosos trabajan para STC, y los investigadores de la compañía de seguridad Lookout parecen estar convencidos de que los mismos expertos son responsables de la creación de una cepa de malware para Android previamente indocumentada llamada Monokle.

Monokle y la conexión STC

Como descubriremos en un minuto, Monokle es una pieza de software de vigilancia móvil extremadamente sofisticada y versátil, y debido a que tales aplicaciones maliciosas generalmente son desarrolladas por personas que saben lo que están haciendo, a menudo, atribuyéndolas a un grupo específico de piratas informáticos es casi imposible Los expertos de Lookout piensan, sin embargo, que hay mucha evidencia que vincula a Monokle con STC.

Conoce a Monokle, una familia de malware de Android capaz de robar y cambiar contraseñas 1

Conoce a Monokle, una familia de malware de Android capaz de robar y cambiar contraseñas 1

De acuerdo a Informe técnico de Lookout, STC está en el negocio de desarrollar, entre otras cosas, un conjunto de productos defensivos para dispositivos Android que supuestamente se vende exclusivamente a agencias gubernamentales rusas. La compañía también tiene una aplicación de panel de control llamada Control de aplicaciones a través de la cual se administra el resto de los servicios de STC. Cuando los expertos de Lookout lo examinaron, vieron que App Control está tratando de averiguar si Monokle está instalado en el dispositivo.

Recomendamos:  Wii Emulator para Android para jugar Nintendo en dispositivos móviles

Además de esto, uno de los productos más conocidos de STC es una aplicación antivirus de Android llamada Defender. Después de examinar detenidamente la infraestructura de Comando y Control (C&C) de Monokle, el equipo de Lookout se dio cuenta de que parte de ella se superpone con los servidores de back-end que usa Defender. Para colmo, había certificados que también se compartían entre los productos de seguridad de STC y Monokle.

Si los investigadores de Lookout tienen razón, y Monokle fue creado por STC, los desarrolladores no pusieron demasiado esfuerzo en ocultar sus rastros, lo cual es extraño considerando el nivel de sofisticación que demuestra el malware.

La versatilidad de Monokle es su característica definitoria

Monokle puede, entre otras cosas, registrar pulsaciones de teclas, eliminar y descargar archivos, enviar mensajes, filtrar contactos, información del dispositivo, correos electrónicos, datos de inicio de sesión, listas de aplicaciones instaladas e historial de llamadas y navegación. También puede tomar fotos, videos y capturas de pantalla, y si tiene acceso de root, puede ejecutar comandos.

Todo esto es bastante estándar para este tipo de malware. Sin embargo, Monokle tiene algunos otros trucos bajo la manga que lo hacen destacar entre la multitud. Utiliza los servicios de accesibilidad de Android para capturar y filtrar información de archivos de Microsoft Office y Google Docs, así como aplicaciones de mensajería instantánea como Whatsapp, Viber, Snapchat, etc. Puede hacer grabaciones de pantalla incluso cuando el dispositivo todavía está bloqueado, lo que significa que puede capturar la contraseña, el código PIN o el patrón utilizado para desbloquear el dispositivo. Una vez que ha capturado el secreto, puede cambiarlo y bloquear a la gente de sus teléfonos o tabletas.

Recomendamos:  Cambiar el título del blog con el título del artículo en Blogspot

Quizás la característica más avanzada, sin embargo, es la capacidad de instalar certificados confiables en dispositivos comprometidos. Gracias a esto, es posible un ataque Man-in-The-Middle contra el tráfico TLS.

Con todo, Monokle no es algo que quieras tener en tu dispositivo Android. La buena noticia es que es poco probable que la mayoría de ustedes lo encuentren.

Monokle está dirigido a objetivos específicos

La primera muestra examinada por Lookout se remonta a 2015, pero Monokle todavía se usa en ataques hasta el día de hoy. Como con la mayoría de las familias de malware de Android, el vector de infección principal se presenta en forma de aplicaciones troyanizadas distribuidas en tiendas de aplicaciones de terceros. La mayoría de ellos se hacen pasar por aplicaciones reales, y algunos incluso vienen con una funcionalidad legítima, lo que puede dificultar la detección.

Sobre la base de los títulos y los íconos de las aplicaciones maliciosas, los expertos concluyeron que Monokle se usa en ataques altamente dirigidos contra grupos específicos de usuarios. Algunas de las aplicaciones fueron claramente diseñadas para llamar la atención de las personas asociadas con el grupo militante Ahrar al-Sham en Siria. Otros estaban dirigidos a usuarios ubicados en la antigua república soviética de Uzbekistán, y un tercer grupo se dirigió a personas situadas en la región del Cáucaso de Europa del Este.

Si lo que dicen los expertos de Lookout es cierto, Monokle probablemente sea utilizado por agencias gubernamentales rusas que intentan espiar a individuos en particular. Si su nombre no está presente en algunas listas muy específicas, Monokle probablemente no lo afectará. Obviamente, esto no significa que el malware deba subestimarse.

Recomendamos:  Chrome en Android puede ser engañado para mostrar direcciones falsas

Dejános tus Comentarios: