Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/07/2018
Golden Cup, la aplicación espía que utiliza el Mundial para robar información
Denominado Golden Cup, descubierto por ClearSky y distribuido mediante aplicación en Play Store para dispositivos Android estando dirigido a ciudadanos israelíes y esconde un malware que tiene como objetivo obtener información sobre aplicaciones instaladas, ubicación, usar cámara y micrófono e información sobre contactos del usuario.
El malware escondido en una aplicación aparentemente legítima de información sobre el Mundial de Rusia 2018 utiliza varias fases para eludir los sistemas de seguridad de Google Play y de Android y así poder obtener la información.
En la primera fase de establece la comunicación con el servidor de C&C utilizando el protocolo MQTT usando el puerto 1883, para una vez establecida la conexión enviar la lista de aplicaciones instaladas y su estado por HTTP.
En la segunda fase descarga un fichero .DEX para implementar servicios de persistencia para comunicarse con el C&C y gestionar la ejecución del malware, así como monitorizar las llamadas entrantes y la instalación de otras aplicaciones.
Por último se ha advertido que varios de los comandos que acepta el servicio TaskManager para gestión de la ejecución del malware son capaces de compartir la ubicación actual, utilizar cámara y micrófono y obtener información de los contactos del usuario.