Llegamos a ustedes gracias a:



Alertas de Seguridad

Una campaña de espionaje carga un software espía de VPN

En dispositivos Android a través de las redes sociales

[03/11/2022] Se ha detectado una nueva campaña de espionaje, bautizada como SandStrike, que utiliza aplicaciones VPN maliciosas para cargar software espía en dispositivos Android, según informa la empresa de ciberseguridad Kaspersky. Es un ejemplo de cómo los actores de APT (amenazas persistentes avanzadas) están actualizando constantemente viejas herramientas de ataque y creando otras nuevas para lanzar nuevas campañas maliciosas, especialmente contra dispositivos móviles.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

"En sus ataques, utilizan métodos astutos e inesperados: SandStrike, que ataca a los usuarios a través de un servicio de VPN, en el que las víctimas trataban de encontrar protección y seguridad, es un excelente ejemplo", señaló Victor Chebyshev, investigador principal de seguridad del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky, en una entrada de blog.

Las APT utilizan las cuentas de las redes sociales para atraer a las víctimas

En la campaña SandStrike, la APT creó cuentas de Facebook e Instagram con más de mil seguidores para atraer a sus víctimas. La campaña se dirige a una minoría religiosa, la bahá'í, seguida en Irán y partes de Oriente Medio y Asia-Pacífico. En el 2019, seis países de esas regiones prohibieron la religión bahá'í, según el Pew Research Center. La campaña, sin embargo, sirve de advertencia, en particular, para los usuarios de las redes sociales y de los móviles de todo el mundo.

"Hoy en día es fácil distribuir programas maliciosos a través de las redes sociales y no ser detectado durante varios meses o incluso más. Por eso es tan importante estar tan alerta como siempre y asegurarse de estar armado con inteligencia de amenazas y las herramientas adecuadas para protegerse de las amenazas existentes y emergentes", anotó Chebyshev. El ataque se vio activo en el tercer trimestre de este año.

Las cuentas de redes sociales creadas por la campaña SandStrike se hacen atractivas con material gráfico de temática religiosa, atrayendo a los fieles. Las cuentas contienen un enlace a un canal de Telegram creado por la APT.

El uso de la aplicación VPN maliciosa infecta los dispositivos Android

SandStrike utiliza Telegram para distribuir lo que parece ser una aplicación VPN legítima. La idea es que el servicio VPN podría permitir el acceso a material relacionado con la religión que está prohibido, y no está disponible públicamente a través de otros medios. Los atacantes crearon una infraestructura VPN para que la aplicación maliciosa de espionaje fuera totalmente funcional.

"El cliente VPN contiene un software espía totalmente funcional con capacidades que permiten a los actores de la amenaza recopilar y robar datos sensibles, incluyendo registros de llamadas, listas de contactos, y también rastrear cualquier otra actividad de las personas perseguidas", señaló el ejecutivo.

Kaspersky no atribuye la nueva actividad maliciosa a ningún grupo en particular, ni especifica el número de infectados. El hecho de que la campaña se dirija a un grupo religioso prohibido sugiere que la geopolítica está en juego, un tema cada vez más común en las campañas de malware.

"La geopolítica sigue siendo un factor clave en el desarrollo de las APT y el ciberespionaje continúa siendo uno de los principales objetivos de las campañas de APT", señaló Kaspersky en su último informe sobre tendencias de APT.

Los ataques APT se extienden geográficamente

Las campañas de APT también se están extendiendo geográficamente, señaló Kaspersky, especialmente en Oriente Medio. Por ejemplo, recientemente se descubrió FramedGolf, una puerta trasera de IIS (Internet Information Services) no documentada anteriormente que solo se podía encontrar en Irán, y que estaba diseñada para establecer un punto de apoyo persistente en organizaciones objetivo, dijo Kapsersky en su informe de Tendencias APT.

El malware se ha utilizado para comprometer al menos una docena de organizaciones, a partir de abril del 2021 a más tardar, y la mayoría sigue comprometida a finales de junio del 2022, señaló Kaspersky.

En el tercer trimestre, Kaspersky también observó una expansión de los ataques en Europa, Estados Unidos, Corea, Brasil y varias partes de Asia.

Aumenta el malware para móviles

Los actores maliciosos también se dirigen cada vez más a los dispositivos móviles. En el segundo trimestre del año, Kaspersky bloqueó unos 5,5 millones de ataques de malware, adware y riskware dirigidos a dispositivos móviles. El adware malicioso estuvo implicado en más del 25% de los ataques. Pero también se observaron otras amenazas como troyanos bancarios para móviles, herramientas de ransomware para móviles y descargadores de malware.

Por lo demás, el primer trimestre del año fue testigo de un aumento del 500% en los intentos de distribución de malware para móviles en Europa, según una investigación de Proofpoint. El aumento se produjo después de un fuerte descenso de los ataques hacia finales del 2021.

También se descubrió que los atacantes se dirigen a los dispositivos Android mucho más que a los dispositivos iOS. iOS no permite a los usuarios instalar una aplicación a través de una tienda de aplicaciones no oficial de terceros o descargarla directamente en el dispositivo, como hace Android, señaló Proofpoint.