Se ha descubierto este último mes que el spyware para Android
utilizado por el grupo APT-C-23 esta utilizando una nueva versión. Este grupo
el cual es conocido también como “Two-tailed Scorpion” principalmente opera en Oriente
Medio. Los productos que han detectado esta nueva versión son los de ESET y han
detectado este nuevo malware como Andrid/SpyC23.A.
Este grupo es conocido por utilizar componentes de Windows y
Android en sus operaciones, los componentes de Android fuero descubiertos por
primera vez en 2017.
La nueva versión Android/SpyC23.A tiene funcionalidades más extendidas
en frente a la ya documentada en 2017, entre estas nuevas funcionalidades
encontramos grabación de llamadas y de pantalla, nuevas funciones para
permanecer oculto, lectura de notificaciones de aplicaciones de mensajería como
pueden ser WhattsApp o Telegram, incluso puede llegar a borrar notificaciones
de aplicaciones de seguridad integradas en Android. Principalmente se distribuye
este spyware en forma de apps conocidas a través de una tienda falsa de
aplicaciones de Android.
MalwareHunterTeam publicó en twitter en abril de 2020 el hallazgo
de una nueva muestra de malware para Android. Desde VirsuTotal informaron que
el único proveedor de seguridad que detecto esta muestra fue ESET, desde ese
momento en una cooperación con MalwareHunterTeam, reconocieron que este malware
es utilizado por el grupo APT-C-23.
MalwareHunterTeam volvió a publicar en twitter en junio de
2020 otra muestra de malware poco detectada, siendo esta una muestra relacionada
con la de abril. Tras realizar un análisis más profundo se descubrió que ambas
muestras eran variantes de un mismo malware para Android utilizado por el grupo
APT-C-23.