El laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto una nueva campaña de ciberespionaje en Oriente Medio, aparentemente relacionada con el grupo Gaza Hackers (también conocido como Molerats), y que se vale de Welcome Chat, una aplicación para Android que no sólo sirve para conversar con amigos, sino que también se utiliza como herramienta de espionaje.
El sitio web malicioso que promociona y distribuye la aplicación la anuncia como una plataforma de chat segura disponible en Google Play, algo doblemente falso: “Welcome Chat no es solo una herramienta de espionaje, sino que también deja los datos obtenidos de las víctimas accesibles en Internet, por lo que no es segura. Además, la aplicación nunca ha estado disponible en la tienda oficial de Android”, asegura Lukás Stefanko, investigador de ESET responsable del análisis sobre Welcome Chat.
La aplicación Welcome Chat se comporta como cualquier otra aplicación de chat que se pueda descargar desde fuera de Google Play: precisa de la activación de la función ‘Permitir la instalación de apps desde fuentes desconocidas’. Una vez instalada, solicita permiso para enviar y leer mensajes SMS, acceder a archivos, grabar audio, acceso a la lista de contactos y a la ubicación del dispositivo. Después de obtener estos permisos, Welcome Chat comienza a recibir comandos desde su servidor de mando y control, a donde envía toda la información recopilada. Además de robar los mensajes del chat, la aplicación recopila información como mensajes SMS enviados y recibidos, historial de llamadas, lista de contactos, fotografías almacenadas, grabaciones de llamadas o la localización GPS del dispositivo.
“Welcome Chat no fue desarrollada pensando en la seguridad. Los datos transmitidos no se cifran y, por ese motivo, son accesibles no sólo por el atacante sino por cualquiera que acceda a la red”, comenta Stefanko.
Los investigadores de ESET intentaron comprobar si Welcome Chat era una versión troyanizada de una aplicación legítima o si se ha desarrollado desde el principio con fines maliciosos. “Hemos hecho lo posible por buscar una versión legítima de la aplicación para alertar al desarrollador sobre esta vulnerabilidad, pero creemos que no existe. Por supuesto, a los delincuentes no les hemos avisado”, explica Stefanko.
La aplicación de espionaje Welcome Chat pertenece a una familia de malware ya conocida y comparte infraestructuras con otra campaña de espionaje previamente documentada y llamada BadPatch, que igualmente tenía objetivos en Oriente Medio. BadPatch fue atribuida a Gaza Hackers, un grupo responsable de varias amenazas conocido también como Molerats. Por esta razón, ESET cree que esta nueva campaña es responsabilidad del mismo grupo.
Aunque el alcance de Welcome Chat es muy limitado, ESET recomienda a los usuarios no instalar nunca aplicaciones que no se encuentren en Google Play a menos que procedan de una fuente de confianza, como puedan ser las webs de una entidad financiera o de un fabricante de soluciones de seguridad conocido. Además, los usuarios deben comprobar qué tipo de permisos otorgan a las aplicaciones y sospechar de cualquier aplicación que solicite permisos que se encuentren más allá de sus funcionalidades. Finalmente, como medida básica de seguridad, es importante contar con una aplicación de seguridad específica para dispositivos móviles.