Ecosistema Digital escribe Carlos Miguel Ramos Linares
Los investigadores de ESET, empresa de software de seguridad, han identificado múltiples campañas de espionaje dirigidas a usuarios de dispositivos Android, atribuidas al grupo de amenazas cibernéticas conocido como Arid Viper. Estas tácticas —activas desde 2022— implican la distribución de spyware a través de aplicaciones alteradas. Este software malicioso recopila información del dispositivo sin el consentimiento del usuario.
El peligro de esta modalidad radica en la imitación de aplicaciones que parecen legítimas, pero que realmente sirven como puerta de entrada para ciberataques y robos de información. Desde el año pasado, existe un incremento en la actividad de estas campañas, con cibercriminales utilizando sitios web que ofrecen aplicaciones troyanizadas de Android como principal medio de distribución del malware.
Entre las aplicaciones falsas detectadas se encuentran versiones de mensajería, una aplicación de oportunidades de empleo y otra del Registro Civil Palestino. Lejos de ser inofensivas, estas aplicaciones están diseñadas específicamente para espiar a los usuarios. Los investigadores de ESET han identificado cinco campañas, de las cuales solo tres siguen activas. Las aplicaciones son: NortirChat, LapizaChat y ReblyChat.
Aunque parecen legítimas, estas aplicaciones contienen código malicioso destinado a recopilar información privada de los usuarios. AridSpy, la herramienta de espionaje utilizada en estas campañas, es extremadamente sofisticada y ha evolucionado en múltiples fases para evitar ser detectada.
Inicialmente, AridSpy consistía en una única etapa de infección, pero ahora incluye una segunda etapa de carga útil que se descarga dinámicamente. Por ejemplo, durante la Copa Mundial de la FIFA en Qatar, una de las campañas más notorias empleó una aplicación llamada Kora442.
El análisis de ESET revela que estas aplicaciones nunca se distribuyeron a través de Google Play, el mercado oficial de aplicaciones de Android. En su lugar, se descargan desde sitios web de terceros, lo que requiere que las víctimas activen la opción de instalar aplicaciones de fuentes desconocidas en sus dispositivos. Esta configuración, aunque permite la instalación de software fuera de la tienda oficial, también abre la puerta a potenciales amenazas.
La telemetría de ESET ha registrado casos de infección en Palestina y Egipto, subrayando la sofisticación de AridSpy. Este spyware es capaz de tomar fotos, grabar audio y registrar texto visible en aplicaciones de mensajería instantánea como Facebook Messenger y WhatsApp. Estas capacidades se logran mediante el uso malicioso de servicios de accesibilidad en Android, una técnica que permite al malware obtener permisos profundos en el dispositivo, sin que el usuario se entere.
Para evitar la detección, AridSpy incorpora mecanismos de evasión, incluyendo la verificación de la presencia de software de seguridad en el dispositivo antes de proceder con las descargas maliciosas. Además, el malware mantiene contactos regulares con los servidores de comando y control, utilizando una infraestructura específica que varía según cada campaña. Esta comunicación constante permite a los atacantes actualizar el spyware y supervisar a las víctimas en tiempo real.
Carlos Miguel Ramos Linares
@cm_ramoslinares