Lisandro Pardo
Una de las recomendaciones principales a la hora de proteger nuestros dispositivos móviles es descargar todo el software a través de las tiendas oficiales, pero hay ocasiones en las que un elemento malicioso logra introducir apps muy bien camufladas. Eso es exactamente lo que sucedió con SonicSpy, una variante de malware que comenzó sus actividades en febrero de este año, entregando a los usuarios «mensajeros instantáneos» que pueden grabar audio, tomar fotografías, hacer llamadas y extraer contactos sin advertencia alguna.
Se supone que si un dispositivo móvil no posee el acceso root habilitado y obtiene sus aplicaciones usando solamente tiendas oficiales, las probabilidades de terminar con una infección son bajas. Sin embargo, los desarrolladores de malware no se quedan con los brazos cruzados, y siempre buscan la manera de filtrar sus creaciones entre las fisuras de cada plataforma. Android sufrió los efectos de esta «carrera armamentista» en más de una oportunidad, y a pesar del buen trabajo de Google, analizar el comportamiento de miles de aplicaciones que ingresan a la Play Store por día es una tarea titánica. En este punto es cuando intervienen los investigadores independientes, y nos encontramos con cosas como SonicSpy, descubierto por la gente de Lookout.
SonicSpy comenzó su despliegue en febrero de este año, y los datos disponibles sugieren que fue desarrollado por un agente estacionado en Irak, aunque no aclara si es gubernamental o privado. Más de mil aplicaciones han demostrado tener alguna clase de relación con SonicSpy, pero las más importantes adoptan la forma de mensajeros instantáneos. «Soniac» se presenta a sí misma como un clon de Telegram, y en la superficie cumple con sus funciones básicas sin sobresaltos. Lookout nos explica que la app tiene en realidad la capacidad de grabar audio, hacer llamadas, tomar fotografías, enviar mensajes de texto a números especificados por el atacante, y extraer detalles como la lista de contactos, el historial y la configuración de redes WiFi.
En esencia, las aplicaciones con SonicSpy borran sus huellas al eliminar el icono para su lanzador, y activan una conexión remota con un servidor en el puerto 2222. SonicSpy comparte varios elementos técnicos con SpyNote, otro malware cuyos reportes iniciales se remontan a julio de 2016. Además de Soniac, «Hulk Messenger» y «Troy Chat» llegaron a instalarse en la Play Store, pero una vez que se detectó su vínculo con SonicSpy fueron rápidamente eliminadas. En resumen: Ya no es suficiente con restringir las descargas a la tienda de Google. Imágenes, texto, descripciones y comentarios deben ser estudiados de cerca antes de bajar cualquier app.
