02/07/2014 NachodlT

Kaspersky Lab descubre nuevo malware para móviles Android e iOS

Kaspersky Lab ha hecho pública una investigación que revela la existencia de una infraestructura internacional utilizada para controlar de forma remota implantaciones de malware y que también ha permitido identificar troyanos móviles para Android e iOS hasta ahora desconocidos. Estos módulos forman parte de una solución “supuestamente legal”, Remote Control System (RSC), también conocida como Galileo, desarrollada por la compañía italiana Hacking Team.

La lista de víctimas que aparece en esta investigación, llevada a cabo por Kaspersky Lab junto con su socio Citizen Lab, incluye activistas y defensores de derechos humanos, así como periodistas y políticos.

Infraestructura RCS

Kaspersky Lab ha trabajado con diferentes enfoques de seguridad para localizar los servidores de comando y control (C&C) de Galileo en todo el mundo. Para su identificación, los expertos de Kaspersky Lab se basaron en indicadores especiales y datos de conectividad obtenidos por ingeniería inversa de las muestras existentes.

Durante los últimos análisis, los investigadores de Kaspersky Lab fueron capaces de localizar más de 320 servidores RCS C&C en 40 países. La mayoría de los servidores se localizaban en Estados Unidos, Kazajstán, Ecuador, Reino Unido y Canadá.

Sergey Golovanov, analista de Kaspersky Lab, afirma que “la presencia de estos servidores en un país determinado no significa que los estén utilizando organismos policiales de ese país. Sin embargo, tiene sentido para los usuarios del programa espía RCS desplegar su C&C en lugares bajo su control – donde exista un riesgo mínimo de problemas jurídicos internacionales o ataques de servidores“.

Implantes móviles RCS

Aunque se sabía que los troyanos móviles de HackingTeam para iOS y Android existían, nadie los había identificado. Los expertos de Kaspersky Lab han estado investigando el malware RCS desde hace un par de años. A principios de 2014, se identificaron algunas muestras de módulos móviles que coincidían con perfiles de configuración incluidas en la colección de malware RCS. Durante la reciente investigación, también se recibieron nuevas variantes de muestras a través de la red Kaspersky Security Nertwork, basada en la nube. Además, los expertos de la compañía trabajaron estrechamente con Morgan Marquis-Boire de Citizen Lab, que ha estado investigando el conjunto de malware HackingTeam.

Los vectores de infección:

Los ciberdelincuentes que están detrás de Galileo RCS construyeron un implante malicioso concreto para cada objetivo. Una vez que la muestra estaba lista, el ciberatacante lo depositaba en el dispositivo móvil de la víctima. Algunos de los vectores de infección conocidos incluyen spearphishing a través de ingeniería social – a menudo junto con exploits, zero-days; e  infecciones locales a través de cables USB al sincronizar los dispositivos móviles.

Uno de los grandes descubrimientos ha sido saber exactamente cómo un troyano móvil Galileo infecta un iPhone: para ello, el dispositivo necesita tener hecho el jailbreak. Sin embargo, no solo los iPhones con jailbreak pueden convertirse en vulnerables. Un ciberdelincuente puede ejecutar una herramienta de jailbreak como ‘Evasi0n’ a través de un equipo infectado previamente y realizar un jailbreak a distancia e infectarlo después. Para evitar los riesgos de infección, los expertos de Kaspersky Lab recomiendan en primer lugar no se haga jailbreak en los dispositivos iPhone, y en segundo lugar que se actualice constantemente los iOS del dispositivo con la última versión.

Espionaje personalizado:

Los módulos móviles RCS están diseñados para operar de una manera discreta. Por ejemplo, prestando mucha atención a la vida de la batería del dispositivo móvil. Se implementa a través de acciones de ciberespionaje muy cuidadas, hechas a medida, o con disparadores especiales: por ejemplo, una grabación de audio puede comenzar sólo cuando una víctima se conecta a una red Wi-Fi en particular (como la red de una empresa), o cuando se cambia la tarjeta SIM o mientras se está cargando el dispositivo.

En general, los troyanos RCS pueden realizar diferentes funciones de vigilancia, como notificar la ubicación, sacar fotos, copiar eventos en el calendario, registrar nuevas tarjetas SIM insertadas en el dispositivo infectado e interceptar llamadas telefónicas y mensajes, incluyendo los mensajes enviados desde aplicaciones específicas, como Viber, WhatsApp y Skype, además de los SMS.

Tagged: , ,

Diseño creativo a la espera

No lo dudes ¡contactanos!