El ransomware se ha convertido en una de las amenazas de malware más populares en los últimos meses. Y los atacantes se han encontrado, en multitud de casos, con usuarios prevenidos que habían hecho una copia de seguridad para evitar problemas de este tipo. Así que el cifrado de archivos sensibles no es problema, porque se restaura la copia y se puede seguir trabajando de forma normal. Pero ¿y si lo que hacen es robarte tus fotos íntimas? Esa es la amenaza que lanza este nuevo ransomware.

Pues bien, en este caso os vamos a hablar de que los expertos en seguridad de Palo Alto Networks han descubierto un nuevo troyano llamado SpyDealer que ha sido diseñado para robar datos de más de 40 aplicaciones. Cierto es que el número de herramientas con posibilidad de estar infectadas es mucho más bajo que lo sucedido en otras ocasiones, pero claro, lo peor de este caso no está en cifra en sí, sino en las propias herramientas afectadas, es decir, en su popularidad.

Se debería tener en cuenta que este descubrimiento afecta a apps como WeChat, Facebook, WhatsApp, Skype, Line, Viber, Telegram, al navegador de Android, Firefox, correo QQ, etc. Una vez conocemos la trascendencia que podría tener este ataque, decir que este malware de Android filtra datos privados de más de 40 aplicaciones y roba mensajes confidenciales de las herramientas de comunicación mencionadas, todo ello mediante el abuso de la función de servicio de accesibilidad del propio Android.

Así SpyDealer obtiene permisos de administrador, lo que le permite el robo de los mencionados datos, señala el informe publicado por Palo Alto Network. De este modo se dedica a robar mensajes de aplicaciones de comunicación mediante la función de servicio de accesibilidad de Android, aunque merece la pena saber que este malware solo funciona con versiones de Android de 2.2 a 4.4, es decir, en el 25% de todos los dispositivos Android que funcionan en el mundo hoy día.

Otro malware de Android roba información confidencial

Una vez se ha instalado, el malware registra dos receptores relacionados tanto con el arranque del dispositivo como el estado de la conexión de red, de este modo, incluso cuando el código malicioso no es capaz de rootear el móvil, sigue estando capacitado para «robar» una cantidad significativa de datos confidenciales. En concreto los atacantes pueden controlar remotamente el dispositivo Android infectado a través de los canales UDP, TCP y SMS.

Decir que entre la información que SpyDealer puede interceptar de este modo, se encuentra el número de teléfono, el IMEI, los SMS y MMS, contactos, cuentas, historial de llamadas o información de la WiFi a la que estemos conectados. Asimismo podría responder las llamadas entrantes desde un número específico, grabar el audio y vídeo de otras llamadas, tomar fotos, monitorizar nuestra ubicación o tomar capturas de pantalla.

Este peligroso malware no se distribuye a través de la tienda oficial Google Play, sino que proviene de las mencionadas herramientas pero descargadas en otras tiendas de tercero.