El software de Android está en todas partes en estos días, incluso encontrando uso en los campos de batalla modernos. Y al igual que las aplicaciones en su teléfono inteligente, descargar .APK potencialmente comprometidos de fuentes no oficiales puede tener consecuencias imprevistas.
Un nuevo informe de la empresa estadounidense de tecnología de ciberseguridad CrowdStrike descubrió que un grupo de piratas informáticos conocido como Fancy Bear incrustó un implante de malware conocido como X-Agent en una aplicación de Android utilizada por el ejército ucraniano. Se cree que el grupo tiene vínculos con las autoridades rusas que apoyaron a las fuerzas rebeldes en Ucrania, y anteriormente se había relacionado con las filtraciones de correo electrónico del DNC en otro informe publicado por CrowdStrike.
Del blog CrowdStrike:
A fines del verano de 2016, los analistas de CrowdStrike Intelligence comenzaron a investigar un curioso paquete de Android (APK) llamado 'Попр-Д30.apk' (MD5: 6f7523d3019fa190499f327211e01fcb) que contenía una serie de artefactos en idioma ruso que eran militares en naturaleza. La investigación inicial identificó que el nombre del archivo sugería una relación con el obús remolcado D-30 de 122 mm, un arma de artillería fabricada por primera vez en la Unión Soviética en la década de 1960 pero que todavía se usa en la actualidad. La ingeniería inversa en profundidad reveló que el APK contenía una variante de Android de X-Agent, el protocolo de comando y control estaba estrechamente vinculado a variantes de Windows observadas de X-Agent, y utilizó un algoritmo criptográfico llamado RC4 con una base de 50 bytes muy similar llave. El nombre de archivo 'Попр-Д30.apk' estaba vinculado a una aplicación legítima que inicialmente fue desarrollada a nivel nacional en Ucrania por un oficial de la 55.ª Brigada de Artillería llamado Yaroslav Sherstuk. En entrevistas con los medios, el Sr. Sherstuk afirma que la aplicación, que tenía unos 9000 usuarios, redujo el tiempo para disparar el D-30 de minutos a segundos. No se ha observado evidencia de la aplicación en la tienda de aplicaciones de Android, por lo que es poco probable que la aplicación se haya distribuido a través de esa plataforma.
El informe continúa diciendo que si el malware X-Agent se implementó con éxito dentro de la aplicación, habría permitido un reconocimiento preciso de las tropas rebeldes en la ubicación de la artillería ucraniana posiciones. CrowdStrike descubrió a través de informes de fuente abierta que "las fuerzas de artillería ucranianas han perdido más del 50% de sus armas en los 2 años de conflicto y más del 80% de los obuses D-30, el mayor porcentaje de pérdida de cualquier otra pieza de artillería en el arsenal de Ucrania". Puedes leer el informe completo de CrowdStrike aquí.
Este caso es obviamente un ejemplo bastante extremo del daño que pueden causar las aplicaciones pirateadas, pero dejemos que esto sirva como recordatorio severo para todos nosotros sobre lo fácil que puede ser descargar aplicaciones maliciosas de Android desde el Internet.