Descrito como software de vigilancia móvil con todas las funciones Monokle viene equipado con capacidades únicas que lo ayudan a realizar el espionaje.
De acuerdo con los investigadores de seguridad, se está implementando una forma altamente efectiva de malware para Android especialmente diseñado para llevar a cabo la vigilancia en individuos seleccionados.
Descubierto por la empresa de seguridad móvil Lookout, el troyano de acceso remoto Monokle está equipado con una gama de capacidades intrusivas que le permiten conducir el espionaje en los objetivos.
Esto incluye el registro de teclas, la toma de fotos y videos, la recuperación del historial de aplicaciones, incluidos los navegadores web, los servicios de redes sociales y los mensajeros, el seguimiento de la ubicación del usuario y mucho más.
Además, Monokle tiene la capacidad de instalar certificados de confianza que le permiten obtener acceso de root al dispositivo. Esto permite a los atacantes desplegar capacidades únicas en su búsqueda para robar datos.
Gran parte de esto se logra aprovechando los servicios de accesibilidad y adaptándolos para robar datos de aplicaciones de terceros, así como utilizando los diccionarios de texto predictivo del usuario para obtener información sobre los tipos de temas que les interesan. El malware también puede grabar la pantalla cuando se desbloquea para revelar el código de acceso de la víctima.
"Monokle es un software de vigilancia móvil avanzado y con todas las funciones", dijo a ZDNet Adam Bauer, ingeniero senior de inteligencia de seguridad y uno de los investigadores detrás de la investigación. "Podría usarse para cualquier objetivo que requiera vigilancia a través de un dispositivo móvil".
Si bien Monokle actualmente solo apunta a dispositivos Android, los investigadores dicen que varias muestras del malware contienen comandos no utilizados y objetos de transferencia de datos que apuntan a la existencia de una versión de iOS, lo que sugiere que el grupo desearía apuntar a los iPhones en el futuro.
Se cree que el malware ha estado activo en la naturaleza desde 2016, con pequeñas ráfagas de actividad contra objetivos en la región del Cáucaso, que abarca Armenia, Azerbaiyán y Georgia, así como objetivos en Siria. El número total de usuarios comprometidos actualmente no se conoce.
Aún no se sabe cómo se distribuye Monokle, pero los investigadores señalan que algunas muestras del malware se crean en torno a versiones troyanas de aplicaciones reales, completas con la misma apariencia y funcionalidad, y que el phishing podría desempeñar un papel en la entrega.
"En ataques similares, como Dark Caracal , hemos observado el uso de ataques de phishing a través de aplicaciones de mensajería, SMS o correos electrónicos utilizados para distribuir este tipo de malware", dijo Bauer.
Lookout ha vinculado la infraestructura detrás de Monokle a Special Technology Center (STC), una compañía rusa que trabaja en San Petersburgo.
STC fue una de varias compañías rusas sujetas a sanciones por parte de la administración de Obama en diciembre de 2016 por ser " cómplice de actividades maliciosas cibernéticas " contra Estados Unidos. El contratista de defensa es una de las tres compañías sancionadas por brindar apoyo material a la Dirección Principal de Inteligencia (GRU) en campañas de interferencia electoral.
Los investigadores dicen que STC ha estado desarrollando un conjunto de aplicaciones de seguridad de Android que comparten infraestructura y enlaces con Monokle, que incluye compartir los mismos servidores de comando y control.
Si bien Monokle no es una campaña generalizada, los investigadores dicen que el malware de vigilancia todavía se está implementando activamente.
Fecha actualización el 2021-07-25. Fecha publicación el 2019-07-25. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: zdnet Version movil