Tizi: capturado por Google Play Protect

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Con la sana intención de proteger a los usuarios de Android contra el malware y las aplicaciones de la Dark, Google ha estado trabajando continuamente para detectar y eliminar aplicaciones maliciosas de sus dispositivos utilizando su servicio recientemente lanzado Google Play Protect.

Google Play Protect, es una función de seguridad que usa aprendizaje automático y análisis de uso de aplicaciones para verificar aplicaciones potencialmente dañinas recientemente ayudó a los investigadores de Google a identificar una nueva familia engañosa de spyware de Android que estaba robando mucha información sobre los usuarios.

Descubierto en los dispositivos de destino en los países africanos, Tizi es un backdoor Android con todas las funciones con capacidades de enraizamiento que se instala aplicaciones de software espía en los dispositivos de las víctimas para robar información confidencial de aplicaciones de medios sociales populares como Facebook, Twitter, Whatsapp, Viber, Skype, LinkedIn y Telegrama.

El equipo de seguridad de Google Play Protect descubrió esta familia en septiembre de 2017 cuando los escáneres de dispositivos encontraron una aplicación con capacidades de rooteo que explotaban vulnerabilidades antiguas. El equipo utilizó esta aplicación para encontrar más aplicaciones en la familia Tizi, la más antigua de ellas es desde octubre de 2015.

La mayoría de las aplicaciones infectadas con Tizi se anuncian en sitios web de redes sociales y tiendas de aplicaciones de terceros, lo que engaña a los usuarios para que los instalen.

Una vez instalada, la aplicación de aspecto inocente obtiene acceso de root del dispositivo infectado para instalar spyware, que luego se pone en contacto con sus servidores de comando y control enviando un mensaje de texto SMS con las coordenadas GPS del dispositivo infectado a un número específico.

Así es como Tizi obtiene acceso de root en dispositivos infectados

Si la puerta trasera no puede tener acceso de root en el dispositivo infectado, todavía intentará realizar algunas acciones a través del alto nivel de permisos que le pide al usuario que le otorguen, principalmente en lectura y envío Mensajes SMS y monitoreo, redireccionamiento y prevención de llamadas salientes.

El software espía Tizi también se diseñó para comunicarse con sus servidores de comando y control a través de HTTPS regular o mediante el protocolo de mensajería MQTT para recibir comandos de los atacantes y cargar datos robados.

 

Yago Gómez Trenor – Analista de Seguridad de Vintegris