por

Tizi un spyware Android que espía las llamadas de Whatsapp y Skype

En un intento de proteger a los usuarios de Android contra el malware, Google ha estado trabajando continuamente para detectar y eliminar aplicaciones maliciosas de sus dispositivos utilizando su servicio recientemente lanzado Google Play Protect.

Google Play Protect, es una funcionalidad de seguridad incorporada en Android que usa aprendizaje automático y análisis de uso de aplicaciones móviles para identificar las que son potencialmente dañinas. Uno de sus más recientes logros es que ayudó a los investigadores de Google a identificar una nueva familia de spyware de Android que estaba robando mucha información a los usuarios de Android.

Descubierto en los dispositivos móviles de países africanos, Tizi es un backdoor Android con muchas funciones maliciosas entre las cuales tenemos la instalación de software espía en los dispositivos de las víctimas para robar información confidencial de populares aplicaciones como Facebook, Twitter, Whatsapp, Viber, Skype, LinkedIn y Telegrama.

Google ha declara en una publicación de su blog de seguridad, qué:

“El equipo de seguridad de Google Play Protect descubrió esta familia en septiembre de 2017 cuando los escáneres de dispositivos encontraron una aplicación con capacidades de rooteo que explotaban vulnerabilidades antiguas.

El equipo utilizó esta aplicación para encontrar más aplicaciones en la familia Tizi, la más antigua de ellas es de octubre de 2015”.

La mayoría de las aplicaciones infectadas con Tizi se anuncian en sitios web de redes sociales y tiendas de aplicaciones de terceros, tratando de engañar a los usuarios para que las instalen.

Una vez instalada, la aplicación de aspecto inocente obtiene acceso de root del dispositivo infectado para instalar un spyware, que luego se pone en contacto con sus servidores de comando y control enviando un mensaje de texto SMS con las coordenadas del dispositivo, obtenidas a través del GPS a un número específico.

Tizi para obtener acceso root,  usa varios exploits de puerta trasera revelados previamente por Google, es decir son vulnerabilidades conocidas y para las cuales ya existen parches. El problema está en que muchos fabricantes no han parchado los dispositivos más antiguos y son ellos los que en su mayoría se han visto afectados. Las vulnerabilidades usadas principalmente para escalar privilegios y obtner el acceso de root son: CVE-2012-4220, CVE-2013-2596, CVE-2013-2597, CVE-2013-2595, CVE-2013- 2094, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636 y CVE-2015-1805.

Si la puerta trasera no puede tener acceso de root en el dispositivo infectado debido a todas las vulnerabilidades enumeradas que están siendo parcheadas, Google también advirtió que “todavía intentará realizar algunas acciones a través del alto nivel de permisos que le pide al usuario que le otorguen, principalmente en lectura y envío de mensajes SMS, así como de monitoreo, redireccionamiento y prevención de llamadas salientes“.

El software espía Tizi también se diseñó para comunicarse con sus servidores de comando y control a través de HTTPS regular o mediante el protocolo de mensajería MQTT para recibir comandos de los atacantes y subir los datos robados en servidores remotos.

La puerta trasera Tizi contiene varias capacidades comunes al spyware comercial, tales como:

  • Robando datos de plataformas populares de redes sociales como Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn y Telegram.
  • Grabación de llamadas de WhatsApp, Viber y Skype.
  • Enviando y recepción de mensajes SMS.
  • Acceder a eventos del calendario, registro de llamadas, contactos, fotos y lista de aplicaciones instaladas.
  • Robo de claves de cifrado de Wi-Fi.
  • Grabación de audio ambiental y toma de imágenes sin mostrar la imagen en la pantalla del dispositivo.

Hasta el momento, Google ha identificado 1,300 dispositivos Android infectados por Tizi y ha eliminado la aplicación.

La mayoría de ellos se ubicaron en países africanos, específicamente Kenia, Nigeria y Tanzania.

¿Cómo podemos proteger a nuestro dispositivo Android de los hackers?

Recordemos de lo expuesto que este spyware para Android suele instalarse de tiendas de terceros o a través de APKs directamente descargado. Así que le recomendamos encarecidamente que siga estos simples pasos para protegerse:

  • Asegúrese de que ya haya optado por participar en el programa Google Play Protect.
  • Descargue e instale aplicaciones solo desde la tienda oficial Google Play Store, y siempre verifique los permisos para cada aplicación, antes de su instalación.
  • Habilite la función ‘verificar aplicaciones’ desde la configuración.
  • Proteja su dispositivo con un bloqueo de PIN o contraseña para que nadie pueda obtener acceso no autorizado a su dispositivo cuando permanece desatendido.
  • Mantenga las “fuentes desconocidas” deshabilitadas mientras no sea necesario.
  • Mantenga su dispositivo siempre actualizado con los últimos parches de seguridad.