Los investigadores de ESET, la mayor empresa de ciberseguridad de la Unión Europea, han descubierto el primer spyware creado sobre los cimientos de AhMyth, la herramienta de espionaje basada en código abierto y que había conseguido eludir los filtros de Google Play.
La aplicación maliciosa, llamada Radio Balouch, también conocida como RB Music, estaba camuflada como una app para escuchar radio en streaming y música balochi (perteneciente a una tribu Iraní). Mientras el usuario disfrutaba con la música una funcionalidad adicional oculta permitía el robo de datos personales de sus usuarios. La app logró superar los filtros y se coló en la tienda oficial de aplicaciones de Android dos veces, pero Google la eliminó rápidamente en ambas ocasiones después de que ESET alertara a la empresa.
La herramienta de espionaje de código abierto AhMyth, de la que la aplicación de radio por Internet aprovechó su funcionalidad maliciosa, se hizo de dominio público a finales de 2017, aunque la solución ESET Mobile Security para Android ya protegía frente a este malware desde enero de 2017. En los últimos años han aparecido varias aplicaciones maliciosas basadas en AhMyth. Sin embargo, es la primera vez que esta aplicación maliciosa, oculta en esta ocasión bajo la app Radio Balouch, llega a la tienda oficial de aplicaciones de Android, Google Play.
“La funcionalidad maliciosa en AhMyth no está oculta, protegida u ofuscada. Por esta razón, es sencillo identificar la aplicación Radio Balouch, y otros derivados, como maliciosos y clasificarlos como pertenecientes a la familia AhM,” destacó Lukáš Štefanko, investigador de malware de ESET.
Aunque el equipo de seguridad eliminó rápidamente la aplicación maliciosa Radio Balouch de la tienda tras el aviso de ESET, los atacantes actuaron rápido y consiguieron hacer que la aplicación reapareciera en Google Play. “También detectamos e informamos sobre la aparición de esta segunda versión de malware que, de nuevo, fue eliminada rápidamente. Sin embargo, es un poco inquietante el hecho de que Google permitiese que el mismo desarrollador pudiera publicar una aplicación claramente maliciosa varias veces en la tienda oficial”, añade Lukáš Štefanko.
Además de Google Play, este malware, detectado por ESET como Android/Spy.Agent.AOX, ha estado disponible en tiendas de aplicaciones alternativas. No solo eso, ya que también ha sido promocionado en un sitio web dedicado, a través de Instagram y YouTube.
Con más de un centenar de descargas, la app de streaming de radio Radio Balouch funcionaba con normalidad permitiendo escuchar música balochi. Sin embargo, la aplicación en el fondo espiaba a sus víctimas robando contactos y recolectando los archivos almacenados en el dispositivo. No obstante, las funcionalidades maliciosas pueden variar y, en el futuro, el malware basado en el código abierto de AyMyth podría permitir nuevas prestaciones.
«El caso de Radio Balouch debería de servir de advertencia a Google para que mejore sus capacidades de protección, ya que un nuevo clon de Radio Balouch o cualquier otro derivado de AhMyth podría aparecer nuevamente en Google Play en cualquier momento«, advierte Lukáš Štefanko. “La recomendación básica de seguridad de acceder siempre a las fuentes oficiales de aplicaciones aún se mantiene. Sin embargo, sadoptar solo esta medida no es garantía suficiente de seguridad. Por eso, recomendamos a los usuarios que analicen cada aplicación que pretenden instalar en su dispositivo y utilicen una solución de seguridad móvil con buena reputación y desarrollada por una empresa de confianza«, concluye el investigador de ESET.