KASPERSKY LAB DESCUBRE NUEVO MALWARE PARA MÓVILES ANDROID E IOS; MAPEA LOS SERVIDORES DE COMANDO Y CONTROL DE HACKINGTEAM
La lista de víctimas indicada en la
nueva investigación, llevada a cabo por Kaspersky Lab en conjunto con su socio
Citizen Lab, incluye activistas y defensores de los derechos humanos, así como
periodistas y políticos.
Infraestructura del RCS
Kaspersky Lab ha estado trabajando en
diferentes frentes para localizar los servidores de comando y control (C&C)
de Galileo en todo el mundo. Para el proceso de identificación, los expertos de
Kaspersky Lab se basaron en indicadores especiales y en datos de conectividad
por ingeniería inversa de las muestras existentes.
Durante el análisis más reciente, los
investigadores de Kaspersky Lab pudieron mapear la presencia de más de 320
servidores RCS, C&C en más de 40 países. La mayoría de los servidores estaban
instalados en los Estados Unidos, Kazajstán, Ecuador, Reino Unido y Canadá.
Al hacer comentarios con relación a
los últimos descubrimientos, Sergey Golavanov, Investigador Principal de
Seguridad en Kaspersky Lab, dijo: "La presencia de estos servidores en un
país dado no quiere decir que son utilizados por los organismos encargados de
hacer cumplir la ley de ese país en particular. Sin embargo, sí hace sentido
que los usuarios del RCS implementen C&Cs en ubicaciones que ellos
controlan - en donde haya riesgos mínimos de cuestiones jurídicas
transfronterizas o embargos de servidores".
Implantes para móviles del RCS
A pesar de que en el pasado se sabía
que existían Troyanos para móviles de Hacking Team para iOS y Android, nadie en
realidad los había identificado antes - o había notado que se usaran en
ataques. Los expertos de Kaspersky Lab han estado investigando el malware de
RCS durante dos años. A principios de este año pudieron identificar algunas
muestras de módulos móviles que correspondían con otros perfiles de
configuración del malware de RCS en su colección. Durante la reciente
investigación, también se recibieron de las víctimas nuevas variantes de
muestras a través de la red KSN basada en la nube de Kaspersky Lab. Además, los
expertos de la compañía trabajaron estrechamente con Morgan Marquis-Boire de
Citizen Lab, quien ha estado investigando el conjunto de malware de HackingTeam
ampliamente.
Vectores de infección: Los operadores de Galileo RCS
construyeron un implante malicioso específico para cada objetivo concreto. Una
vez que la muestra está lista, el atacante la envía al dispositivo móvil de la
víctima. Algunos de los vectores de infección conocidos incluyen "spearphishing"
mediante ingeniería social - a menudo en conjunto con "exploits",
incluyendo días-cero; e infecciones locales a través de cables USB mientras se
sincronizan los dispositivos móviles.
Uno de los descubrimientos más
importantes ha sido aprender precisamente cómo un Troyano para móvil de Galileo
infecta un iPhone: para ello, se requiere hacerle "jailbreak" al
dispositivo. No obstante, iPhones sin jailbreak pueden volverse vulnerables
también: un atacante puede ejecutar una herramienta de jailbreak como 'Evasi0n'
a través de una computadora previamente infectada y realizar un jailbreak
remoto, seguido de la infección. Para evitar riesgos de infección, los expertos
de Kaspersky Lab recomiendan que ante todo, no suprima las limitaciones
impuestas a través de un jailbreak en su iPhone, y también que constantemente
actualice a la última versión del iOS en su dispositivo.
Espionaje personalizado: Los módulos móviles del RCS están
meticulosamente diseñados para funcionar de manera discreta, por ejemplo,
prestando especial atención a la duración de la batería de los dispositivos
móviles. Esto se lleva a cabo a través de capacidades de espionaje
cuidadosamente personalizadas, o disparadores especiales: por ejemplo, una
grabación de audio puede iniciar sólo cuando la víctima está conectada a una
red Wi-Fi concreta (por ejemplo, la red de una empresa de medios), o cuando la
víctima cambie la tarjeta SIM, o mientras el dispositivo se está cargando.
En general, los Troyanos para móviles
de RCS son capaces de realizar muchos tipos diferentes de funciones de
vigilancia, incluyendo el reporte de la ubicación del objetivo, tomar
fotografías, copiar eventos del calendario, registrar nuevas tarjetas SIM que
se inserten en el dispositivo infectado, e interceptar llamadas telefónicas y
mensajes; estos incluyen mensajes que se envían desde aplicaciones específicas
tales como Viber, WhatsApp y Skype, además de los textos SMS normales.
Detección: Los productos Kaspersky Lab
detectan las herramientas de spyware RCS/DaVinci/Galileo como: Backdoor.Win32.Korablin,
Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin,
Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut,
Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin,
Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir and
Backdoor.AndroidOS.Criag.
Para obtener más información, lea nuestro blog en Securelist.com.
No hay comentarios:
Publicar un comentario