Los usuarios de Android en todo el mundo están siendo blanco de un nuevo spyware conocido como “ALIEN”, que puede instalar el malware o virus “PREDATOR”. El spyware fue supuestamente creado por la compañía de Macedonia del Norte Cytrox. Al menos tres campañas activas han sido confirmadas por el Grupo de Análisis de Amenazas (TAG) de Google.
Según Google, los exploits de 0 días basados en el spyware Alien se están utilizando junto con algunos exploits más antiguos. Los desarrolladores de malware parecen estar tratando activamente de explotar el lapso de tiempo entre el momento en que algunos errores críticos fueron parcheados pero no marcados como problemas de seguridad y cuando estos parches se implementaron por completo en todo el ecosistema de Android.
Google afirma que una sola compañía de vigilancia comercial, Cytrox, empaquetó múltiples exploits que caen dentro de la categoría de spyware Alien y los vendió a varios grupos respaldados por el gobierno. CitizenLab, una firma de investigación de seguridad en línea, también había detectado múltiples ataques, que según Google están vinculados al spyware Alien.
El virus parece estar propagándose principalmente a través del correo electrónico. Las víctimas reciben correos electrónicos que contienen enlaces sospechosos. Cualquiera de los enlaces llevará a las víctimas a un sitio web que instalará el malware. Luego carga su carga útil principal, el virus Predator, antes de abrir el sitio web originalmente previsto.
“Las tres campañas [de spyware] entregaron enlaces de una sola vez que imitan los servicios de acortador de URL a los usuarios de Android objetivo por correo electrónico. Las campañas fueron limitadas: en cada caso, evaluamos el número de objetivos en las decenas de usuarios. Una vez hecho clic, el enlace redirigió el objetivo a un dominio propiedad del atacante que entregó los exploits antes de redirigir el navegador a un sitio web legítimo. Dijo Google.
El virus puede grabar audio, ocultar aplicaciones y realizar una variedad de otras actividades nefastas.
Google dijo que se han distribuido parches para abordar las vulnerabilidades.
Sin embargo, los usuarios de Android deben tener cuidado al abrir correos electrónicos de fuentes desconocidas.
Además, los usuarios de correo electrónico nunca deben hacer clic en los enlaces incrustados en los correos electrónicos sin verificar primero la identidad del remitente.