En Italia y Kazajstán, los atacantes apuntan a dispositivos iOS y Android con spyware

AppleInsider cuenta con el respaldo de su audiencia y, como Asociado y Afiliado de Amazon, puede ganar comisiones en compras calificadas. Estas asociaciones de afiliados no afectan nuestro contenido editorial. Google ha revelado que los usuarios de Android e iOS en Europa fueron engañados para que instalaran una aplicación maliciosa que luego robaría información personal del dispositivo. Un informe publicado por Google el jueves detalla sus investigaciones en curso sobre proveedores comerciales de spyware como parte de su campaña Project Zero. La compañía nombró a la empresa italiana RCS Labs como una posible parte de los ataques. Google afirma que RCS Labs usó «una combinación de tácticas» para atacar a los usuarios en Italia y Kazajstán con lo que llama un «ataque de descarga oculta». Un mensaje afirmaría que la víctima ha perdido el acceso a su cuenta o servicios y necesita iniciar sesión utilizando el enlace provisto para restaurar el servicio. Los enlaces de instalación enviados por los infames actores se disfrazaron como notificaciones de ISP o aplicaciones de mensajería. Una vez que la víctima se conectaba a la página vinculada, se le presentaban logotipos reales y avisos de restablecimiento de cuenta realistas, con el enlace para descargar la aplicación maliciosa escondido detrás de botones e íconos de aspecto oficial. Por ejemplo, una de las muchas variantes instaladas de la aplicación utilizada en la campaña tenía un logotipo de Samsung como icono y estaba vinculada a un sitio web falso de Samsung. La versión de Android del ataque utilizó un archivo APK. Dado que las aplicaciones de Android se pueden instalar de forma gratuita desde fuera de Google Play Store, los actores no tuvieron que convencer a las víctimas para que instalaran un certificado especial. A las víctimas con dispositivos Android se les otorgaron muchos permisos a los atacantes, p. B. Acceso al estado de la red, credenciales de usuario, información de contacto, lectura de dispositivos de almacenamiento externos montados. Luego, se instruyó a las víctimas que usaban iOS para que instalaran un certificado de la empresa. Si el usuario siguió el proceso, el certificado debidamente firmado permitió que la aplicación malintencionada eludiera las protecciones de la App Store después de la descarga. La versión iOS de la aplicación maliciosa usó seis exploits de sistema diferentes para extraer información del dispositivo, dividiendo la aplicación en varias partes, cada una usando un exploit específico. Cuatro de estos exploits fueron escritos por la comunidad de jailbreak para eludir la capa de verificación y desbloquear el acceso completo a la raíz del sistema. Debido al sandboxing de iOS, la cantidad de datos extraídos tenía un alcance limitado. Si bien se obtuvieron datos como la base de datos local de la aplicación de mensajería WhatsApp de las víctimas, el sandboxing evitó que la aplicación se conectara directamente y robara la información de otras aplicaciones directamente. Google ha advertido a las víctimas de Android de esta campaña. La empresa también realizó cambios en Google Play Protect y deshabilitó ciertos proyectos de Firebase utilizados por los atacantes. No está claro si Apple invalidó el certificado. Los usuarios de Apple han sido durante mucho tiempo el objetivo de los actores nefastos. En enero de 2022, agentes del gobierno lograron plantar malware en los dispositivos Mac de activistas por la democracia. En abril, un ataque de phishing en la cuenta de iCloud de una víctima resultó en el robo de activos por valor de $ 650,000. Los propietarios de dispositivos iOS o iPadOS están protegidos contra tales ataques si no instalan certificados fuera de su organización. También es una buena práctica que cualquier usuario se comunique directamente con una empresa utilizando métodos claros de comunicación previa al mensaje si tiene preguntas sobre un llamado a la acción realizado a través de los servicios de mensajería.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.