Conclusiones clave Desde junio de 2024, se ha identificado una nueva campaña de software espía para Android dirigida a personas en Corea del Sur, que aprovecha un depósito S3 de Amazon AWS como servidor de comando y control (C&C). El software espía es capaz de exfiltrar información confidencial de un dispositivo infectado, incluidos SMS, listas de contactos, imágenes y videos. Los datos robados, almacenados abiertamente en el depósito S3, sugieren una seguridad operativa deficiente, lo que podría provocar fugas involuntarias de información confidencial. El software espía funciona con un código fuente simple y pocos permisos clave, lo que demuestra que incluso el malware simple puede ser muy eficaz para exfiltrar datos confidenciales. El malware no fue detectado por ninguna de las principales soluciones antivirus. Se identificaron cuatro muestras únicas, que exhibieron tasas de detección cero en todos los motores. Descripción general Cyble Research and Intelligence Labs (CRIL) ha descubierto una campaña de software espía para Android no detectada anteriormente dirigida a personas en Corea del Sur, que ha estado activa desde junio de 2024. El software espía aprovecha un depósito de Amazon AWS S3 como su servidor de Comando y Control (C&C) y está diseñado para exfiltrar datos confidenciales de los dispositivos comprometidos, incluidos contactos, mensajes SMS, imágenes y videos. Las muestras de software espía observadas se disfrazan de aplicaciones de video en vivo, aplicaciones para adultos, aplicaciones de reembolso y aplicaciones de diseño de interiores. A continuación se muestran los íconos utilizados por el malware. Figura 1: íconos utilizados por el malware Se han identificado dos URL maliciosas que distribuyen el software espía: hxxps://refundkorea[.]cyou/REFUND%20KOREA.apk hxxps://bobocam365[.]icu/downloads/pnx01.apk Figura 2 – Opendir que aloja malware Desde su aparición, este malware ha permanecido sin ser detectado por todas las soluciones de seguridad, lo que le permite operar de forma sigilosa. CRIL ha identificado cuatro muestras únicas vinculadas a este spyware, todas ellas con índices de detección cero en los principales motores antivirus. Figura 3 – Muestra de malware con detección cero Se observó que todas las muestras de spyware identificadas se comunicaban con el mismo servidor de Comando y Control (C&C) alojado en un depósito de Amazon S3: hxxps://phone-books[.]s3.ap-northeast-2.amazonaws.com/. Nuestro análisis reveló que los datos robados, incluidos contactos, mensajes SMS, imágenes y videos, se almacenaron abiertamente en el bucket S3 (servidor C&C), lo que confirma aún más que el malware se dirigió específicamente a personas en Corea del Sur. Figura 4: Datos expuestos en el bucket S3 Figura 5: SMS robados guardados en el bucket S3 Figura 6: Contactos robados guardados en el bucket S3 La mala seguridad operativa de los atacantes resultó en la exposición involuntaria de datos confidenciales. Informamos el uso indebido del bucket S3 de AmazonAWS a Amazon Trust and Safety, que deshabilitó el acceso a la URL y dejó de ser accesible a los datos. Además, nuestra investigación no encontró otros servidores C&C que utilizaran buckets S3 o expusieran datos robados vinculados a esta campaña. Figura 7: Acceso deshabilitado después de informar abuso Detalles técnicos Después de la instalación, todas las muestras de spyware muestran una sola pantalla con un mensaje en coreano adaptado al tema de la aplicación. Figura 8: Pantalla cargada después de la instalación El código fuente de este spyware es relativamente simple. Utiliza un conjunto mínimo de permisos, incluidos «READ_SMS», «READ_CONTACTS» y «READ_EXTERNAL_STORAGE», para llevar a cabo sus operaciones maliciosas. El archivo de manifiesto especifica solo la actividad principal, que activa la funcionalidad maliciosa al ejecutarse. Figura 9: Archivo de manifiesto Al instalarse, el spyware solicita los permisos necesarios; una vez otorgados, ejecuta sus funciones maliciosas. Estas funciones, responsables de recopilar datos del dispositivo infectado, se ejecutan dentro del método API «onRequestPermissionsResult», como se ilustra en la imagen a continuación. Figura 10: Malware que ejecuta funciones maliciosas en el método onRequestPermissionResult Para exfiltrar imágenes y videos, el malware consulta al proveedor de contenido del dispositivo y carga cada archivo al servidor C&C a través del punto final «/media/+filename». Este comportamiento es evidente en los datos expuestos, como se muestra en la Figura 3. Figura 11 – Recopilación de imágenes y vídeos El malware recopila contactos y mensajes SMS del dispositivo infectado y los almacena en dos archivos separados: phone.json para contactos y sms.json para datos SMS. Luego, estos archivos se transmiten al servidor C&C, como se muestra en la siguiente figura. Figura 12 – Guardar contactos en un archivo JSON Figura 13 – Enviar archivo JSON al servidor C&C Conclusión Esta campaña resalta la creciente sofisticación del spyware de Android dirigido a individuos en Corea del Sur. Al utilizar un bucket Amazon AWS S3 para la infraestructura de Comando y Control, los actores de amenazas pudieron mantener el sigilo y evadir la detección durante un período prolongado. Esta cepa de spyware utiliza un enfoque minimalista, aprovechando solo unos pocos permisos clave para exfiltrar datos confidenciales como contactos, mensajes SMS, imágenes y videos, y demuestra cómo incluso el malware simple puede ser extremadamente efectivo. Es preocupante que los atacantes recurran cada vez más a servicios de nube confiables como AWS como parte de su infraestructura maliciosa. Esta táctica les permite eludir las medidas de seguridad tradicionales y pasar desapercibidos. Nuestras recomendaciones Hemos enumerado algunas prácticas recomendadas de ciberseguridad esenciales que crean la primera línea de control contra los atacantes. Recomendamos a nuestros lectores que sigan las prácticas recomendadas que se indican a continuación: Descargue e instale software solo de tiendas de aplicaciones oficiales como Google Play Store o iOS App Store. Utilice un paquete de software de seguridad de Internet y antivirus de buena reputación en sus dispositivos conectados, como PC, portátiles y dispositivos móviles. Utilice contraseñas seguras y aplique la autenticación multifactor siempre que sea posible. Habilite las funciones de seguridad biométrica, como la huella dactilar o el reconocimiento facial, para desbloquear el dispositivo móvil siempre que sea posible. Tenga cuidado al abrir cualquier enlace recibido por SMS o correos electrónicos entregados a su teléfono. Asegúrese de que Google Play Protect esté habilitado en dispositivos Android. Tenga cuidado al habilitar cualquier permiso. Mantenga sus dispositivos, sistemas operativos y aplicaciones actualizados. Técnicas de MITRE ATT&CK® Táctica ID de técnica Procedimiento Acceso inicial (TA0027) Suplantación de identidad (T1660) Distribución de malware a través de un sitio de suplantación de identidad Recopilación (TA0035) Datos de usuario protegidos: lista de contactos (T1636.003) El malware recopila contactos del dispositivo infectado Recopilación (TA0035) Datos de usuario protegidos: mensajes SMS (T1636.004) Roba SMS del dispositivo infectado Recopilación (TA0035) Datos del sistema local (T1533) El malware roba imágenes y vídeos de un dispositivo infectado Comando y control (TA0037) Protocolo de capa de aplicación: protocolos web (T1437) El malware utiliza el protocolo HTTPS para la comunicación de C&C Exfiltración (TA0036) Exfiltración a través del canal C2 (T1646) Envío de datos exfiltrados a través del servidor C&C Indicadores de compromiso (IOC) Indicadores Tipo de indicador Descripción afc2baf71bc16bdcef943172eb172793759d483470cce99e542d750d2ffee851 63952a785e2c273a4dc939adc46930f9599b9438 1d7bbb5340a617cd008314b197844047 SHA256 SHA1 MD5 Hashes de spyware d9106d06d55b075757b2ca6a280141cbdaff698094a7bec787e210b00ad04 cde 46eb3ba5206baf89752fe247eff9ce64858f4135 68e6401293e525bf583bade1c1a36855SHA256 SHA1 MD5Hashes de software espíaa8e398fc4b483a1779706d227203647db3e04d305057fdc7f3f6a4318677b9c8 d07a165b1b7c177c2f57b292ae1b2429b6187e45 16139baf56200f3975e607f89e39419aSHA256 SHA1 MD5Hashes de software espía3608f739c66c9ca18628fecded6c3843630118baaab80e11a2bacee428ef01b3 1fc56a6d34f1a59a4987c3f8ff266f867e80d35c fa073ca9ae9173bb5f0384471486cce2SHA256 SHA1 MD5Hashes de software espíashxxps://phone-books.s3.ap-northeast-2.amazonaws.com/URLC&C serverhxxps://bobocam365[.]UCI/descargas/pnx01.apkhxxps://refundkorea[.]cyou/REFUND%20KOREA.apkURLURL de distribución relacionada