Una campaña de malware a gran escala que utiliza aplicaciones falsas de citas y redes sociales para robar datos personales sensibles ha sido descubierta por investigadores de seguridad móvil.

Bautizada como “SarangTrap”, esta operación afecta tanto a dispositivos Android como iOS y ha empleado más de 250 aplicaciones maliciosas y más de 80 dominios de phishing para atacar a usuarios, especialmente en Corea del Sur.

Según un informe publicado por Zimperium este miércoles, la campaña utiliza tácticas de manipulación emocional para atraer víctimas mediante perfiles falsos, códigos de invitación exclusivos e interfaces de apps muy convincentes.

Estas aplicaciones imitan servicios legítimos, pero están diseñadas únicamente para acceder y extraer datos del usuario, incluyendo contactos, imágenes privadas, contenido de mensajes SMS e identificadores del dispositivo.

Una vez instaladas, las apps muestran una interfaz pulida y solicitan permisos que aparentan ser necesarios para su funcionamiento. Luego, los usuarios son invitados a ingresar un código que activa rutinas ocultas de software espía. Tras obtener acceso, la app transmite silenciosamente los datos sensibles a un servidor controlado por los atacantes.

Evolución de Tácticas y Alcance Multiplataforma

El análisis más reciente del equipo zLabs de Zimperium reveló un cambio en la estrategia del malware.

En muestras más nuevas de Android, los desarrolladores eliminaron los permisos de SMS del archivo manifest, pero conservaron el código para exfiltrar mensajes, lo que sugiere una experimentación constante para evadir los escaneos de seguridad sin perder funcionalidades de espionaje.

En el caso de los usuarios de iOS, la campaña no utiliza aplicaciones tradicionales, sino perfiles de configuración móviles maliciosos. Una vez instalados, estos perfiles permiten a los atacantes acceder a los contactos, fotos e información del dispositivo sin levantar sospechas inmediatas.

Los actores detrás de SarangTrap registraron 88 dominios únicos, más de 70 de los cuales se usaron activamente para distribuir malware. Al menos 25 de estos dominios fueron indexados por motores de búsqueda como Google, posicionándose para palabras clave comunes como “citas”, “compartir archivos” y “redes sociales”, lo cual les dio credibilidad ante los usuarios desprevenidos.

Además, Zimperium identificó más de 250 muestras de malware para Android con ligeras variaciones. Algunas de ellas omiten permisos clave para evitar ser detectadas, pero aun así continúan extrayendo grandes cantidades de datos personales.

Manipulación Emocional Combinada con Sofisticación Técnica

La campaña mezcla ingeniería social con una alta sofisticación técnica. En uno de los casos reportados, un hombre en duelo por una ruptura fue contactado por un perfil falso de citas. Luego de descargar una app desde un enlace de phishing e ingresar un código, su dispositivo fue comprometido. Los atacantes utilizaron el contenido robado para chantajearlo, amenazando con exponer videos personales a su familia.

Zimperium recomienda a los usuarios mantenerse alerta ante apps que pidan códigos de invitación o permisos inusuales, evitar tiendas de apps de terceros y revisar regularmente los perfiles instalados y la configuración de seguridad del dispositivo.

La operación SarangTrap sigue activa y continúa evolucionando, por lo que la vigilancia es más importante que nunca.

Fuente: https://www.infosecurity-magazine.com/news/malware-campaign-dating-apps