Video: ¡¡Todo lo que quieres saber sobre Ciberinteligencia y no sabes a quien preguntar!! (Noviembre 2024)
Los investigadores de seguridad han diseccionado y analizado los componentes móviles del spyware comercial utilizado por los gobiernos de todo el mundo que se pueden utilizar para registrar y robar datos subrepticiamente de dispositivos móviles.
Desarrollado por la empresa italiana Hacking Team, los módulos móviles para el Sistema de Control Remoto permiten a las agencias policiales y de inteligencia realizar una amplia gama de acciones de vigilancia en dispositivos Android, iOS, Windows Mobile y BlackBerry, según investigadores de Kaspersky Lab y Citizen Lab. en la Escuela Munk de Asuntos Globales de la Universidad de Toronto. Hacking Team vende RCS, también conocido como Da Vinci y Galileo, a los gobiernos para espiar computadoras de escritorio, computadoras portátiles y dispositivos móviles. En algunos países, RCS se utiliza para espiar a disidentes políticos, periodistas, defensores de los derechos humanos y figuras políticas opuestas.
Los investigadores de Kaspersky Lab y Citizen Lab realizaron ingeniería inversa en conjunto de los módulos móviles, y Morgan Marquis-Boire de Citizen Lab y Sergey Golovanov de Kaspersky presentaron sus hallazgos en un evento de prensa en Londres el martes.
"Fue un hecho bien conocido durante bastante tiempo que los productos HackingTeam incluían malware para teléfonos móviles. Sin embargo, rara vez se vieron", escribió Golovanov en el blog Securelist.
Lo que puede hacer RCS
Los componentes iOS y Android pueden registrar pulsaciones de teclas, obtener datos del historial de búsqueda y permitir la recolección encubierta de correos electrónicos, mensajes de texto (incluso los enviados desde aplicaciones como WhatsApp), el historial de llamadas y las libretas de direcciones. Pueden tomar capturas de pantalla de la pantalla de la víctima, tomar fotos con la cámara del teléfono o encender el GPS para monitorear la ubicación de la víctima. También pueden encender el micrófono para grabar llamadas telefónicas y de Skype, así como las conversaciones que se producen en la proximidad del dispositivo.
"La activación secreta del micrófono y la toma regular de la cámara proporciona una vigilancia constante del objetivo, que es mucho más poderoso que las operaciones tradicionales de capa y daga", escribió Golovanov.
Los componentes móviles están diseñados a medida para cada objetivo, dijeron los investigadores. "Una vez que la muestra está lista, el atacante la entrega al dispositivo móvil de la víctima. Algunos de los vectores de infección conocidos incluyen la pesca submarina a través de ingeniería social, a menudo junto con exploits, incluidos los días cero; e infecciones locales a través de cables USB mientras se sincroniza el móvil dispositivos ", dijo Golovanov.
El brazo largo de vigilancia
RCS tiene un alcance global masivo, y los investigadores han encontrado la identificación de 326 servidores en más de 40 países. La mayoría de los servidores de comando estaban alojados en los Estados Unidos, seguidos por Kazajstán, Ecuador, el Reino Unido y Canadá. El hecho de que los servidores de comando estén en esos países no significa necesariamente que las agencias de aplicación de la ley en esos países estén usando RCS, dijeron los investigadores.
"Sin embargo, tiene sentido que los usuarios de RCS implementen C&C en ubicaciones que controlan, donde existen riesgos mínimos de problemas legales transfronterizos o incautaciones de servidores", dijo Golovanov.
Los últimos hallazgos se basan en un informe anterior de marzo donde los investigadores encontraron que al menos el 20 por ciento de la infraestructura de RCS se encontraba dentro de una docena de centros de datos en los Estados Unidos.
Ocultar en modo sigilo
Los investigadores de Citizen Lab encontraron una carga útil del Equipo de Hacking en una aplicación de Android que parecía ser una copia de Qatif Today, una aplicación de noticias en árabe. Este tipo de táctica, donde se inyectan cargas maliciosas en copias de aplicaciones legítimas, es bastante común en el mundo de Android. La carga útil intenta explotar una vulnerabilidad en versiones anteriores del sistema operativo Android para obtener acceso de root en el dispositivo.
"Si bien este exploit no sería efectivo contra la última versión del sistema operativo Android, un alto porcentaje de usuarios todavía usa versiones heredadas que pueden ser vulnerables", escribieron los investigadores de Citizen Lab en una publicación de blog.
Tanto los módulos Android como iOS emplean técnicas avanzadas para evitar agotar la batería del teléfono, restringir cuando realiza ciertas tareas a condiciones específicas y operar discretamente para que las víctimas no se den cuenta. Por ejemplo, el micrófono puede estar encendido y una grabación de audio solo cuando la víctima está conectada a una red WiFi en particular, dijo Golovanov.
Los investigadores encontraron que el módulo iOS solo afecta a dispositivos con jailbreak. Sin embargo, si el dispositivo iOS está conectado a una computadora infectada con la versión de escritorio o portátil del software, el malware puede ejecutar de forma remota herramientas de jailbreak como Evasi0n para cargar el módulo malicioso. Todo esto se haría sin el conocimiento de la víctima.
Citizen Lab también recibió una copia de lo que parece ser el manual de usuario del Equipo de Hacking de una fuente anónima. El documento explica con gran detalle cómo construir la infraestructura de vigilancia para entregar las cargas maliciosas a las víctimas, cómo administrar los datos de inteligencia recolectados de los dispositivos de las víctimas e incluso cómo obtener certificados de firma de código.
Por ejemplo, el manual sugiere usar Verisign, Thawte y GoDaddy para los certificados. Los atacantes tienen instrucciones de comprar un "Certificado de desarrollador" directamente de TrustCenter si el objetivo utilizará un dispositivo Symbian, y registrarse para obtener una cuenta de Microsoft y una cuenta del Centro de desarrollo de Windows Phone para infectar Windows Phone.
La suposición detrás de este tipo de software de vigilancia es que los compradores utilizarán estas herramientas principalmente para fines de aplicación de la ley y que los elementos criminales no tendrán acceso a ellas. Sin embargo, el hecho de que estos estén disponibles significa que se pueden usar contra objetivos motivados políticamente, lo que tiene algunas implicaciones serias para la seguridad y la privacidad en general.
