El equipo de seguridad de Google ha descubierto una nueva variedad de malware para Android, llamada Tizi. Se ha utilizado principalmente para usuarios de países africanos, pero el resto del mundo no está exento. Categorizado como spyware, Google indica que Tizi puede llevar a cabo una amplia gama de operaciones. Pero la mayoría se centra en las aplicaciones y actividades de las redes sociales. Justo lo que más utilizan los usuarios en sus terminales móviles.
Tizi, el spyware de redes sociales
Según Google Threat Analysis Group y los ingenieros de seguridad de Google Play Protect, Tizi puede utilizarse con los siguientes propósitos maliciosos:
- Puede robar datos de aplicaciones de redes sociales populares como Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn y Telegram.
- Puede grabar llamadas de WhatsApp, Viber y Skype.
- Grabar audio ambiental a través del micrófono.
- Puede tomar fotos de la pantalla sin alertar al usuario.
- Enviar e interceptar mensajes SMS en dispositivos infectados.
- Puede acceder a contactos, eventos del calendario, registros de llamadas, fotos, claves de cifrado Wi-Fi y una lista de todas las aplicaciones instaladas localmente.
- Cuando infecta por primera vez a los usuarios, envía las coordenadas del GPS del dispositivo a través de SMS a un servidor.
- Las comunicaciones posteriores con el servidor C & C del atacante se realizan a través de HTTPS o, en algunos casos aislados, a través de MQTT.
Detectado en septiembre
Los ingenieros de Google dicen que detectaron el spyware Tizi en septiembre de 2017. Las exploraciones automáticas con Google Play Protect (un escáner de seguridad de aplicaciones Android incorporado en la aplicación Google Play Store) descubrieron una aplicación infectada con Tizi que se instaló en el dispositivo del usuario a través de la tienda oficial de juegos de Google.
Después de investigar versiones anteriores de aplicaciones cargadas en Play Store, detectaron más aplicaciones infectadas con Tizi que datan de octubre de 2015.
Google dice que suspendió la cuenta de desarrollador de la aplicación y luego usó la aplicación Google Play Store para desinstalar las aplicaciones de Tizi de los dispositivos infectados.
Según los datos recopilados por Google, la mayoría de los usuarios infectados se encontraban en países africanos. Aunque no está claro si el autor o distribuidor de Tizi también se encuentra en este continente.
Además, no hubo un esfuerzo sustancial para engañar a los usuarios para que instalen las aplicaciones en masa. Y los investigadores de seguridad creen que el spyware probablemente se usó en ataques dirigidos contra un número pequeño, pero muy bien elegido, de objetivos.
Google dice que las capacidades del spyware se basan en el uso de exploitsantiguos. Éstos solo funcionan en dispositivos Android desactualizados más antiguos. “Todas las vulnerabilidades enumeradas están fijas en los dispositivos con un nivel de parche de seguridad de abril de 2016 o posterior, y la mayoría de ellos fueron parcheados considerablemente antes de esta fecha”, indica Google.
Cómo protegerse
Además, Google también recomienda los siguientes cinco pasos para mantener los dispositivos Android a salvo de malware:
- Verificar los permisos: hay que tener cuidado con las aplicaciones que solicitan permisos irracionales. Por ejemplo, una aplicación de linterna no debería necesitar acceso para enviar mensajes SMS.
- Habilitar una pantalla de bloqueo segura: elegir un PIN, patrón o contraseña que sea fácil de recordar y difícil de adivinar para los demás.
- Actualizar el dispositivo: mantener el dispositivo actualizado con los últimos parches de seguridad.
- Ubicación del dispositivo: usar la opción de encontrar el dispositivo. Es mucho más probable que perdamos el móvil que instalar un PHA.
- Google Play Protect: asegurarse de que Google Play Protect esté habilitado.