← Techstars Blog

Los investigadores de seguridad han encontrado dos instancias separadas de hackers usando aplicaciones Android para llevar a cabo una vigilancia altamente focalizada en el Medio Oriente.

Ingeniería social empleada para distribuir malware ViperRAT que utiliza dispositivos infectados para tomar fotos y grabar audio.

 

Las aplicaciones se construyen a partir de dos familias separadas de malware centrado en la vigilancia, ambos dirigidos a alrededor de un millar de usuarios desprevenidos. El llamado malware ViperRAT fue incorporado en dos aplicaciones, y se ha dirigido previamente a los miembros de la fuerza de Defensa israelí. Otra aplicación tiene dos tipos de malware, llamado Desert Scorpion y FrozenCell, para espiar a los objetivos en Palestina.

 

Las tres aplicaciones están vinculadas a amenazas persistentes avanzadas enfocadas en móviles, dijo un nuevo informe publicado el lunes por la firma de ciberseguridad Lookout.

En el caso de las aplicaciones ViperRAT, construidas con un enfoque en las redes sociales y el chat, las aplicaciones, una vez instalados, perfilan el dispositivo e intentan descargar un componente de vigilancia de segunda etapa. Ese componente descargado le dio a un atacante “una cantidad considerable de control sobre un dispositivo comprometido. ” las motivaciones del actor de la amenaza siguen siendo confusas.

Lookout dijo que hay “actualmente no hay evidencia ” el actor con éxito se desplegó en contra de la fuerza de Defensa israelí en esta ocasión, pero no nombrar a un nuevo objetivo.

Mientras tanto, la aplicación Desert Scorpion también utiliza una carga útil de segunda etapa que descarga componentes maliciosos cuando un usuario interactúa con la aplicación. Ese componente obtiene un acceso casi ilimitado al dispositivo–y la capacidad de agarrar dispositivos, metadatos, rastrear las ubicaciones de un usuario, enviar mensajes, grabar audio, llamadas y vídeo que rodean–todo mientras se ejecuta silenciosamente en segundo plano.

Por qué los cortafuegos de próxima generación no son una solución que abarque todo
A medida que el panorama de la amenaza de ciberseguridad evolucionó en los últimos 20 años, los cortafuegos originalmente empleados por él en todo el mundo se volvieron cada vez más ineficaces al bloquear a los malos actores para acceder a los datos de la red. Cortafuegos de próxima generación (NGFWs)…
White Papers proporcionado por los IBO

Lookout dijo que un grupo avanzado de amenazas persistentes, conocido como apt-C-23, es probable que el sospechoso detrás del malware. No sólo eso, las similitudes en las infraestructuras de mando y control del escorpión del desierto y FrozenCell sugieren que las dos familias de malware pueden indicar un actor o desarrollador común.

Anteriormente, se ha asumido que apt-C-23 es un actor avanzado de amenaza persistente poco conocido que se remonta a 2015. Se dice que los atacantes son “muy activos ” hackers, que se cree que están vinculados a Hamas, dado que los objetivos anteriores han incluido al partido político palestino rival al Fatah.

En ambos casos, los actores detrás de las aplicaciones maliciosas utilizaron esquemas de phishing para engañar a los objetivos en la descarga de las aplicaciones.

Pero lo que hace que las aplicaciones tan eficaz es que se pueden descargar desde la tienda oficial de Android App, Google Play, prestando a las aplicaciones un nivel de credibilidad. Esto se debe a que la mayoría de las aplicaciones de malware rudimentarias no se instalan sin que los usuarios de Android rebajen activamente su propia configuración de seguridad con el fin de instalar aplicaciones fuera de la pared supuestamente protectora de la App Store de Google.

No es insólito para las aplicaciones de malware para colarse en la tienda de aplicaciones Android, pero es raro.

 

Un análisis de la aplicación Desert Scorpion mostró que su funcionalidad maliciosa no estaba incluida en la aplicación cuando se presentó a Google Play, dijo Blaich. Más bien, fue descargado más tarde cuando el usuario estaba interactuando con la aplicación.

Con ViperRAT, la funcionalidad maliciosa dentro de una de las aplicaciones parece casi indistinguible de otras aplicaciones de redes sociales y ofuscado de vista durante el proceso de aprobación de App Store.

Andrew Blaich, jefe del puesto de observación de la inteligencia de la amenaza, dijo que la aplicación del escorpión del desierto fue instalada más de un centenar de veces, mientras que las aplicaciones de ViperRAT tenían cerca de mil instalaciones combinadas.

Lo que estos pueden parecer como un número bajo, dijo Blaich escorpión del desierto “es una parte de un ataque dirigido y no se utiliza para la amplia vigilancia global, ” y que “este número está en línea con lo que se esperaría. ”

Después de que Lookout alcanzó, Google eliminó las aplicaciones de la App Store.

“cuando nos notificaron por Lookout, eliminamos las aplicaciones de la reproducción y la protección de reproducción actualizada para ayudar a asegurar que los usuarios están protegidos, ” dijo un portavoz de Google. “siempre apreciamos el trabajo de la comunidad de investigación para ayudar a que el ecosistema Android sea más seguro. ”

Contáctame con seguridad

Zack Whittaker puede ser alcanzado de forma segura en la señal y WhatsApp en 646-755-8849, y su huella digital PGP para el correo electrónico es: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C de 15FA EB6C EEA5.

Erwin Salas