Una campaña de espionaje móvil ha aprovechado la app oficial ‘Red Alert’ de Israel, distribuyendo una versión maliciosa a civiles durante el conflicto con Irán, convirtiendo una herramienta de vida salvada en un mecanismo de vigilancia. La app falsa, denominada RedAlert.apk, se envió mediante mensajes de phishing por SMS, imitando al Comando de Defensa Civil israelí, engañando a los usuarios para que la instalaran fuera de la tienda Google Play.

Explotando el pánico en tiempos de guerra

La campaña RedAlert aprovechó el miedo y la urgencia de un conflicto activo, usando el nombre de la app legítima de emergencia para distribuir una versión maliciosa. La interfaz de la app era idéntica a la oficial, lo que hacía casi imposible que los usuarios detectaran la amenaza.

Según analistas de CloudSEK, la app falsa fue diseñada para eludir las características de seguridad integradas de Android, obligando a los usuarios a instalar el APK de forma manual. Este método permitió que el malware evitara la detección por protocolos de seguridad estándar.

Los atacantes usaron mensajes de phishing por SMS que parecían actualizaciones urgentes de guerra, exigiendo a los usuarios que descargaran la app de inmediato. La app real solo está disponible en Google Play, por lo que la campaña obligó a los usuarios a instalar el APK malicioso directamente, un proceso que normalmente levanta banderas rojas de seguridad.

Recolección de datos y vigilancia en silencio

Una vez instalada, la app falsa solicitó permisos de alto riesgo, incluyendo el acceso a mensajes de texto, contactos y ubicación GPS. Estos permisos se presentaron como necesarios para las funciones de alerta de emergencia de la app, pero en realidad permitieron la recolección de datos y la vigilancia.

El análisis de CloudSEK reveló que el malware recopila datos localmente antes de transmitirlos a servidores controlados por atacantes mediante solicitudes HTTP POST. Los atacantes podrían rastrear las coordenadas GPS de los usuarios durante ataques aéreos activos, posiblemente mapeando ubicaciones de refugios o identificando reservistas militares.

Interceptar los buzones de mensajes de texto también permitió a los adversarios eludir la autenticación de dos factores y llevar a cabo campañas de desinformación. CloudSEK clasificó la campaña como una amenaza grave para la seguridad estratégica y física, no solo un incidente de espionaje convencional.

Cadena de infección en tres etapas

El diseño técnico del archivo RedAlert.apk reveló una cadena de infección en múltiples etapas, construida para permanecer oculta tanto de los usuarios como de las herramientas de seguridad. En la Etapa 1, la concha externa del APK utilizó una técnica llamada Hooking del Administrador de Paquetes para interceptar llamadas del sistema, devolviendo un certificado codificado que imitaba las credenciales de la app oficial.

En la Etapa 2, se extrajo un archivo oculto llamado ‘umgdn’ desde el directorio de activos del APK y se cargó en la memoria como un ejecutable Dalvik, evitando escáneres de seguridad estáticos. En la Etapa 3, se desplegó la carga útil final, DebugProbesKt.dex, que activó el conjunto completo de espionaje y estableció comunicación con servidores controlados por atacantes.

CloudSEK advirtió a los usuarios que eliminaran inmediatamente la app falsa y realizaran un restablecimiento de fábrica para evitar la retención de datos. A los administradores de redes se les aconsejó bloquear todo el tráfico DNS y HTTPS hacia direcciones IP específicas e implementar políticas estrictas de gestión de dispositivos móviles.

Se instó a las organizaciones a emitir advertencias sobre ataques de smishing con temática de conflicto, especialmente aquellos vinculados a la crisis entre Israel e Irán. La campaña resalta el creciente riesgo de amenazas cibernéticas que aprovechan tensiones geopolíticas para atacar a civiles.