Google prendió las alarmas e informó de un nuevo software espía comercial, dirigido especialmente a usuarios de dispositivos iOS y Android y del que ya se han identificado víctimas en Italia y Kazajistán.

La nueva amenaza se ha vinculado a un vendedor italiano, RCS Labs, y tiene como primer vector de infección la descarga de una aplicación maliciosa, hecho que sucede después de que la potencial víctima recibe un enlace y pincha en él.

El enlace avisa al usuario de un supuesto problema con su cuenta en un servicio conocido, como Facebook o Instagram, o con la conectividad de datos móviles. En este último caso, simula ser un proveedor de Internet conocido.

Esta estrategia de ataque se dirige contra usuarios tanto de iOS como de Android, como advierten desde Google en su blog oficial, y por el momento se han identificado víctimas en dos países: Italia y Kazajistán. En el caso del primer sistema operativo, la ‘app’ maliciosa se instala dentro del sandbox de iOS y está sujeta a los mecanismos de privacidad y seguridad que exige Apple.

Sin embargo, desde Google alertan de que esta ‘app’ para iOS se puede descargar al margen de la App Store, donde ni siquiera creen que haya estado disponible. Y contiene varios exploits con los que da acceso a información del dispositivo.

En Android, el enlace busca la instalación de un archivo apk, que exige la instalación de aplicaciones de fuentes desconocidas y que, pese a no contener exploits, puede activar su instalacion.

La aplicación en este caso adopta la imagen de una app’ legítima de Samsung y solicita acceso a numerosos elementos y ajustes del teléfono, como la localización, la lectura de SMS o el estado de la conectividad.

La compañía afirma que para proteger a los usuarios de Android han implementado cambios en Play Protect, para que alerte de la presencia de estas aplicaciones maliciosas. «Esta campaña es un buen recordatorio de que los atacantes no siempre usan exploits para obtener los permisos que necesitan. Los vectores de infección básicos y las descargas automáticas aún funcionan», apunta la compañía.

Con Portaltic