Arsink es un spyware para Android identificado como un troyano de acceso remoto (RAT) que permite a los atacantes obtener control total sobre los dispositivos infectados. El malware se distribuye mediante aplicaciones falsas que suplantan a plataformas legítimas y populares como WhatsApp, YouTube, Instagram y TikTok, presentándose como versiones modificadas o premium.
Una vez instalado, Arsink solicita múltiples permisos críticos que le permiten acceder a datos sensibles como mensajes, contactos, registros de llamadas, ubicación y almacenamiento, además de activar el micrófono para grabar audio.
El spyware opera de forma persistente en segundo plano, puede ocultar su presencia en el dispositivo y comunicarse con servidores de comando y control (C2), lo que lo convierte en una amenaza relevante para la privacidad y la seguridad de los usuarios.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
El ataque de Arsink se basa en técnicas de ingeniería social y distribución de malware fuera de tiendas oficiales. Los atacantes crean aplicaciones maliciosas que imitan servicios legítimos y las difunden a través de plataformas de mensajería, redes sociales y sitios de alojamiento de archivos.
El usuario descarga e instala manualmente la aplicación, habilitando la instalación desde fuentes desconocidas. Durante la instalación, la aplicación solicita permisos excesivos que, al ser aceptados, permiten la ejecución del spyware. Una vez activo, Arsink se oculta y establece comunicación con su infraestructura de comando y control, desde donde los atacantes pueden ejecutar acciones remotas, recolectar información, monitorear la actividad del dispositivo y mantener el acceso persistente sin que el usuario lo detecte fácilmente.
