Firestarter, el malware de Android que usa Google Messenger para comunicarse con el servidor de los hackers
Especialistas en seguridad reportaron la detección de una campaña maliciosa operada por el grupo de hacking DoNot en la que se explota Firebase Cloud Messaging (FCM), el servicio de mensajería multiplataforma en la nube de Google para desplegar malware de Android a través de Internet.
Los investigadores sostienen que DoNot está utilizando FCM como un mecanismo de comunicación para conectarse con sus servidores de comando y control (C&C) con el fin de evadir la detección de algunos mecanismos de seguridad empleando un ataque bautizado como Firestarter.
Los hackers de DoNot están experimentando con nuevas variantes de ataque para mantener un punto de entrada en las máquinas de las víctimas, demostrando lo peligroso de este grupo de hacking y el gran desarrollo que han conseguido en solo unos meses.
Respecto a las víctimas de este grupo, los principales objetivos de ataque de DoNot residen en Pakistán e India, en especial los funcionarios del gobierno pakistaní y organizaciones no gubernamentales en Cachemira. Acorde a un informe publicado por Cisco Talos, los actores de amenazas utilizan APKs no disponibles en Play Store con nombres de archivos como Kashmir_Voice_v4.8.apk, kashmir_sample.apk y otras variantes similares.
Usando ingeniería social, los actores de amenazas buscan convencer a las víctimas de instalar estas apps maliciosas afirmando que solo son plataformas de chat inofensivas. Si la aplicación es descargada e instalada, aparecerá un mensaje en el que se informa a los usuarios que la app no es compatible con su dispositivo, por lo que el archivo será desinstalado. Aunque el ícono de la aplicación desaparece, el software sigue presente en el dispositivo.
Una vez que comienza a operar en segundo plano, la aplicación descarga una carga útil cuando se establece comunicación con su servidor C&C a través de FCM. Dado que la carga útil final no está incorporada en la aplicación maliciosa, fue imposible analizarla como parte de esta investigación, lo que hace a esta variante de ataque mucho más peligrosa para sus objetivos potenciales.
