Un grupo de investigadores ha descubierto una campaña de espionaje móvil. Ha recopilado información personal de las víctimas desde 2012. Ha sido revelado recientemente, de forma accidental, gracias a un servidor expuesto abiertamente. Se trata de uno de los primeros ejemplos de operaciones de hackeo a gran escala en teléfonos móviles, en vez de a ordenadores.
Campaña de espionaje móvil
El grupo detrás de esta amenaza se apoda Dark Caracal. Afirmó haber robado cientos de gigabytes de datos, incluida información de identificación personal y propiedad intelectual, de miles de víctimas en más de 21 países diferentes. Todo ello según un nuevo informe de Electronic Frontier Foundation (EFF) y la firma de seguridad Lookout.
Después de filtrar por error algunos de sus archivos a internet, el grupo de piratas informáticos fue rastreado hasta un edificio propiedad de la Dirección General de Seguridad libanesa. Una de las agencias de inteligencia del país con sede en Beirut, la capital del país.
Dark Caracal ha estado llevando a cabo campañas de ciberespionaje multiplataforma. Esto incluye 11 variantes de malware para Android, 26 de escritorio en Windows, Mac y Linux, y 60 basados en dominio/IP.
21 países
Al menos desde 2012, el grupo ha ejecutado más de diez campañas de piratería dirigidas principalmente a usuarios de Android en al menos 21 países, incluidos América del Norte, Europa, Oriente Medio y Asia.
Los datos robados por Dark Caracal incluyen documentos, registros de llamadas, mensajes de texto, grabaciones de audio, contenido seguro del cliente de mensajería, historial de navegación, información de contacto, fotos y datos de ubicación. Básicamente, toda la información que permite al grupo identificar a la persona.
Para llevar a cabo su trabajo, Dark Caracal no dependía de ningún “exploits de día cero”, ni tenía que llevar el malware a Google Play Store. En cambio, el grupo usó ingeniería social básica a través de publicaciones en grupos de Facebook y mensajes de WhatsApp. Con ello alentaban a los usuarios a visitar un sitio web controlado por piratas informáticos y obtener permisos de aplicaciones.
Como explica el tecnólogo Cooper Quintin, uno de los aspectos más interesantes es que no necesitan un exploit sofisticado. Simplemente utilizaban los permisos para acceder a las aplicaciones. Con esto se demuestra que no es complicado crear una estrategia que permita a los gobiernos espiar.
Cómo ha funcionado
Una vez engañaban a los usuarios para que fueran a los sitios webs maliciosos, las víctimas recibieron actualizaciones falsas de aplicaciones de mensajería segura, incluyendo WhatsApp, Signal, Threema Telegram y Orbot (un cliente Tor de código abierto para Android). Con ello descargaban malware Dark Caracal, apodado Pallas.
Pallas es una pieza de malware de vigilancia que es capaz de tomar fotografías, robar datos, espiar aplicaciones de comunicación, grabar vídeo y audio. También puede adquirir datos de ubicación y robar mensajes de texto, incluidos códigos de autenticación de dos factores, de los dispositivos de las víctimas.
Además de su propio malware personalizado, Dark Caracal también usó FinFisher, una herramienta de vigilancia altamente secreta que a menudo se comercializa para agencias policiales y gubernamentales. Además usaron una herramienta de spyware de escritorio recientemente descubierta, denominada CrossRAT, que puede infectar Windows, Linux y sistemas MacOS.
Se estima que Dark Caracal logró robar con éxito más de 252.000 contactos, 485.000 mensajes de texto y 150.000 registros de llamadas de dispositivos Android infectados. Datos confidenciales como fotos personales, contraseñas bancarias y números PIN también fueron robados.
La mejor manera de protegerse de estos ataques de malware basados en Android es siempre descargar aplicaciones desde el mercado oficial de Google Play Store en lugar de desde cualquier sitio web de terceros.