Home Ciberguerra Un grupo de ciberdelincuentes iraníes, desarrolló un malware para Android, con el...

Un grupo de ciberdelincuentes iraníes, desarrolló un malware para Android, con el fin de robar códigos SMS 2FA

Check Point descubrió una operación de espionaje masiva establecida por entidades iraníes, y que tiene como objetivo principal a los expatriados y disidentes. Las herramientas desplegadas en la operación aún en curso son altamente sofisticadas, incluyendo una puerta trasera Android que puede extraer códigos de autenticación de dos factores de los mensajes SMS, páginas de phishing de Telegram, y cuatro variantes para los ladrones de información de Windows que roban tanto documentos como credenciales de cuentas.

Entre los objetivos confirmados de la campaña se encuentran el pueblo de Baluchistán, la Organización Nacional de Resistencia de Azerbaiyán y la Asociación de Familias de Residentes del Campo de Ashraf y Libertad (AFALR).

El compromiso inicial de las víctimas se produce a través de documentos atados que llevan una carga útil maliciosa. El malware es en realidad un robo de información que se centra mucho en el Telegrama porque la mayoría de los activistas mencionados confían y utilizan Telegram para sus comunicaciones. Así, la carga útil comprueba si Telegram está instalado en la máquina, y si lo está, inyecta un actualizador modificado.

A partir de ahí, el malware puede robar cuentas de Telegram, información del KeePass (administrador de contraseñas), registrar datos del portapapeles, tomar capturas de pantalla del escritorio, e incluso descargar e instalar módulos adicionales. El malware permanece persistente incluso si el usuario actualiza su instalación de Telegram, por lo que esta no es la forma de desarraigarlo.

La puerta trasera del Android se disfraza como un servicio para los hablantes de persa en Suecia, por lo que se dirige a los expatriados de allí. Sus capacidades incluyen el robo de mensajes SMS, la exfiltración de código 2FA, la recuperación de listas de contactos, la grabación de voz, la activación de micrófonos, el phishing de cuentas de Google, la manipulación de procesos en ejecución y más. Una vez más, Telegram es un objetivo activo, y a las víctimas se les señala regularmente las páginas de phishing que tienen el tema correspondiente.

Pese a sospechas, Check Point no pudo hacer alguna atribución definitiva, sobre quién podría estar detrás de la operación “Gatito Desbocado”, tal como la apodó la compañía. Los rastros que se dejaron del grupo o entidad de la amenaza apuntan a dominios registrados con identidades falsas o falsificadas, mientras que una de las direcciones de correo electrónico se utilizó para registrarse en los foros de hacking iraníes también.

La atención prestada Telegram y a KeePass denota que el objetivo de los piratas informáticos es recopilar información, por lo que no parece haber motivos financieros implicados. El gobierno iraní ha tratado de prohibir el uso de Telegram en el pasado, y cuando COVID-19 llegó al país, crearon aplicaciones que eran básicamente spyware, contratando a un desarrollador conocido por poner tenedores de Telegrama en la sombra. Aún así, no podemos atribuir “Gatita rampante” al estado iraní, pero las piezas definitivamente encajan.

Con información de: ZDNet.