{"id":26662,"date":"2023-09-18T15:49:39","date_gmt":"2023-09-18T21:49:39","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26662"},"modified":"2023-09-19T23:50:22","modified_gmt":"2023-09-20T05:50:22","slug":"telegram-signal-malware-in-google-play","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/telegram-signal-malware-in-google-play\/26662\/","title":{"rendered":"Mensajeros de software esp\u00eda en Google Play"},"content":{"rendered":"

Para los servicios de mensajer\u00eda populares como Telegram, Signal y WhatsApp, existen bastantes clientes<\/a> alternativos (que no deben confundirse con los clientes<\/em> como los compradores<\/em> (humanos); el inventor de esta palabra confusa necesita una buena charla). Estas aplicaciones modificadas, conocidas como mods, a menudo proporcionan a los usuarios funciones y capacidades que no est\u00e1n disponibles en los clientes oficiales.<\/p>\n

Si bien WhatsApp desaprueba las modificaciones y las proh\u00edbe peri\u00f3dicamente en las tiendas oficiales de aplicaciones, no solo Telegram nunca ha hecho la guerra a los clientes alternativos, sino que tambi\u00e9n alienta activamente su creaci\u00f3n<\/a>, por lo que las modificaciones de Telegram est\u00e1n apareciendo como setas. Pero \u00bfson seguras?<\/p>\n

Por desgracia, varios estudios recientes demuestran que las modificaciones de mensajer\u00eda deben manejarse con gran precauci\u00f3n. Aunque la mayor\u00eda de los usuarios todav\u00eda conf\u00edan ciegamente en cualquier aplicaci\u00f3n que se haya verificado y publicado en Google Play, hemos destacado repetidamente<\/a> sus peligros: al descargar una aplicaci\u00f3n en Google Play, tambi\u00e9n puedes aceptar un troyano<\/a> (\u00a1hubo uno que tuvo m\u00e1s de 100\u00a0millones de descargas!), una puerta trasera<\/a>, un suscriptor<\/a> malicioso y\/o un mont\u00f3n de cosas m\u00e1s<\/a>.<\/p>\n

Esto acaba de empezar: Telegram en chino y uigur infectado en Google Play<\/h2>\n

Empezaremos con una historia reciente. Nuestros expertos descubrieron varias aplicaciones infectadas<\/a> en Google Play bajo la apariencia de versiones de Telegram en uigur, chino simplificado y chino tradicional. Las descripciones de la aplicaci\u00f3n est\u00e1n escritas en los respectivos idiomas y contienen im\u00e1genes muy similares a las de la p\u00e1gina oficial de Telegram<\/a> en Google Play.<\/p>\n

Para persuadir a los usuarios de que descarguen estos mods en lugar de la aplicaci\u00f3n oficial, el desarrollador afirma que funcionan m\u00e1s r\u00e1pido que otros clientes gracias a una red distribuida de centros de datos en todo el mundo.<\/p>\n

\"Versiones<\/a>

Versiones en chino simplificado, chino tradicional y uigur de Telegram en Google Play con software esp\u00eda en el interior.<\/p><\/div>\n

A primera vista, estas aplicaciones parecen ser clones de Telegram en toda regla con una interfaz localizada. Todo se ve y funciona casi igual que la aplicaci\u00f3n real.<\/p>\n

Echamos un vistazo dentro del c\u00f3digo y descubrimos que las aplicaciones eran poco m\u00e1s que versiones ligeramente modificadas de la oficial. Dicho esto, hay una peque\u00f1a diferencia que se escap\u00f3 a la atenci\u00f3n de los moderadores de Google Play: las versiones infectadas albergan un m\u00f3dulo adicional. Este supervisa constantemente lo que sucede en el servicio de mensajer\u00eda y env\u00eda una gran cantidad de datos al servidor central de los creadores de software esp\u00eda: todos los contactos, mensajes enviados y recibidos con archivos adjuntos, nombres de chats\/canales, nombre y n\u00famero de tel\u00e9fono del propietario de la cuenta: b\u00e1sicamente, toda la correspondencia del usuario. Incluso si un usuario cambia su nombre o n\u00famero de tel\u00e9fono, esta informaci\u00f3n tambi\u00e9n se env\u00eda a los atacantes.<\/p>\n

Anteriormente: versiones de software esp\u00eda de Telegram y Signal en Google Play<\/h2>\n

Curiosamente, hace poco tiempo, los investigadores de ESET encontraron<\/a> otra versi\u00f3n de software esp\u00eda de Telegram: FlyGram. Es cierto que este ni siquiera trataba de fingir ser oficial. En cambio, se posicionaba como un cliente alternativo de Telegram (es decir, solo un mod), y se hab\u00eda abierto camino no solo en Google Play, sino tambi\u00e9n en Samsung Galaxy Store.<\/p>\n

Lo que es a\u00fan m\u00e1s curioso es que sus creadores no se limitaban a imitar solo a Telegram. Tambi\u00e9n publicaron una versi\u00f3n infectada de Signal en estas mismas tiendas, llamada Signal Plus Messenger. Y para mayor credibilidad, incluso llegaron a crear los sitios web flygram[.]org y signalplus[.]org para sus aplicaciones falsas.<\/p>\n

\"Signal<\/a>

Tambi\u00e9n existe un cliente de software esp\u00eda en Google Play para Signal, llamado Signal Plus Messenger. (Fuente<\/a>)<\/p><\/div>\n

Por dentro, estas aplicaciones equival\u00edan a los servicios de mensajer\u00eda de Telegram\/Signal en toda regla, cuyo c\u00f3digo de c\u00f3digo abierto estaba aromatizado con aditivos maliciosos.<\/p>\n

De esta forma, FlyGram aprendi\u00f3 a robar contactos, historial de llamadas, una lista de cuentas de Google y otra informaci\u00f3n del tel\u00e9fono inteligente de la v\u00edctima, as\u00ed como a hacer \u201ccopias de seguridad\u201d de la correspondencia para almacenarla\u2026 en el servidor de los atacantes (aunque esta \u201copci\u00f3n\u201d ten\u00eda que ser activada en el servicio de mensajer\u00eda modificado de forma independiente por el usuario).<\/p>\n

En el caso de Signal Plus, el enfoque era algo diferente. El malware robaba una cierta cantidad de informaci\u00f3n del tel\u00e9fono inteligente de la v\u00edctima directamente y permit\u00eda a los atacantes iniciar sesi\u00f3n en la cuenta de Signal de la v\u00edctima desde sus propios dispositivos sin que los descubrieran, despu\u00e9s de lo cual pod\u00edan leer toda la correspondencia casi en tiempo real.<\/p>\n

FlyGram apareci\u00f3 en Google Play en julio de 2020 y permaneci\u00f3 all\u00ed hasta enero de 2021, mientras que Signal Plus se public\u00f3 en las tiendas de aplicaciones en julio de 2022 y no se elimin\u00f3 de Google Play hasta mayo de 2023. En la Samsung Galaxy Store, seg\u00fan BleepingComputer<\/a>, ambas aplicaciones a\u00fan estaban disponibles a finales de agosto de 2023. Aunque ya hayan desaparecido por completo de estas tiendas, \u00bfcu\u00e1ntos usuarios desprevenidos contin\u00faan usando estas modificaciones de mensajer\u00eda \u201cr\u00e1pidas y f\u00e1ciles\u201d que exponen todos sus mensajes a miradas indiscretas?<\/p>\n

Direcciones de criptomonedas falsas de WhatsApp y Telegram infectadas<\/h2>\n

Y hace solo unos meses, los mismos investigadores de seguridad descubrieron<\/a> una gran cantidad de versiones troyanizadas de WhatsApp y Telegram destinadas principalmente al robo de criptomonedas. Funcionan falsificando las direcciones de la criptomoneda en los mensajes para interceptar las transferencias entrantes.<\/p>\n

\"WhatsApp<\/a>

Una versi\u00f3n infectada de WhatsApp (izquierda) falsifica la direcci\u00f3n de la criptomoneda en un mensaje para el destinatario, que tiene la versi\u00f3n oficial no infectada de WhatsApp (derecha). (Fuente<\/a>)<\/p><\/div>\n

Adem\u00e1s, algunas de las versiones encontradas utilizan el reconocimiento de im\u00e1genes para buscar frases iniciales en las capturas de pantalla almacenadas en la memoria del tel\u00e9fono inteligente, una serie de palabras de c\u00f3digo que se pueden usar para obtener un control total sobre una criptomoneda<\/a> y luego vaciarla.<\/p>\n

Y algunas de las aplicaciones falsas de Telegram robaban informaci\u00f3n de perfil de usuario almacenada en la nube de Telegram: archivos de configuraci\u00f3n, n\u00fameros de tel\u00e9fono, contactos, mensajes, archivos enviados\/recibidos, etc. B\u00e1sicamente, robaban todos los datos de los usuarios, excepto los chats secretos<\/a> creados en otros dispositivos. Todas estas aplicaciones no se distribu\u00edan en Google Play, sino a trav\u00e9s de una variedad de sitios falsos y canales de YouTube.<\/p>\n

C\u00f3mo protegerse<\/h2>\n

Por \u00faltimo, algunos consejos sobre c\u00f3mo protegerse de las versiones infectadas de mensajeros populares, as\u00ed como de otras amenazas dirigidas a los usuarios de Android:<\/p>\n