Piratas informáticos con sede en Libia que utilizan la pandemia de coronavirus para propagar malware de vigilancia móvil


La propagación drástica del coronavirus en todo el mundo no ha impedido que los cibercriminales exploten el miedo para piratear dispositivos.

Coronavirus: los hackers están explotando el brote de COVID-19 para robar su información
Karen Roby entrevistó a un experto en ciberseguridad sobre una amenaza diferente a la que trae COVID-19.

Durante meses, los ciberdelincuentes han utilizado correos electrónicos, mensajes y software con temas de coronavirus para engañar a las personas para que descarguen malware y otros programas maliciosos diseñados para robar información y dañar a las personas.

Kristin Del Rosso y otros investigadores de amenazas de la compañía de ciberseguridad Lookout han encontrado un nuevo tipo de ciberataque de coronavirus diseñado para difundir aplicaciones de Android potencialmente maliciosas que parecen ser la herramienta más reciente en una campaña de vigilancia móvil más grande que opera en Libia y se dirige a individuos libios.

En una publicación de blog el miércoles, Del Rosso dijo que los investigadores de Lookout han descubierto software de vigilancia móvil que imita una aplicación COVID-19 con conexiones más profundas a otras 30 aplicaciones que integran un kit de software espía comercializado, lo que le permite sacar provecho rápidamente de este crisis.

VER: Coronavirus y su impacto en la empresa (Descarga de TechRepublic Premium)

"Esta campaña de vigilancia destaca cómo en tiempos de crisis, nuestra necesidad innata de buscar información puede ser utilizada en nuestra contra con fines maliciosos. Además, la comercialización de kits de software espía 'listos para usar' hace que sea bastante fácil para estos actores maliciosos acelerar estas campañas a medida casi tan rápido como se desata una crisis como COVID-19 ", escribió Del Rosso.

"Es por eso que, incluso en tiempos de crisis, es importante evitar descargar aplicaciones de tiendas de aplicaciones de terceros y hacer clic en enlaces sospechosos para sitios o aplicaciones 'informativos' difundidos por SMS, especialmente desde un número desconocido", dijo.

La aplicación de Android que los investigadores de Lookout encontraron se llama "corona live 1.1" y cuando se descarga, solicita acceso a todas las fotos, medios, archivos y ubicación del dispositivo de un usuario, así como permiso para tomar más fotos y grabar videos.

Según Del Rosso, la aplicación "corona live 1.1" es en realidad una muestra de SpyMax, una versión troyanizada de la aplicación legítima "corona live" que proporciona una interfaz para los datos encontrados en el rastreador de coronavirus Johns Hopkins, que incluye información sobre las tasas de infección y totales de muertes en cada país.

"SpyMax es una familia de software de vigilancia comercial que parece haber sido desarrollada por los mismos creadores que SpyNote, otro software de vigilancia comercial de bajo costo para Android. SpyMax tiene todas las capacidades de una herramienta estándar de espionaje, y los foros que hacen referencia al malware elogian su 'interfaz gráfica simple 'y facilidad de uso ", agregó Del Rosso.

"SpyMax le permite al actor acceder a una variedad de datos confidenciales en el teléfono y proporciona un terminal de shell y la capacidad de activar de forma remota el micrófono y las cámaras. Si bien esta aplicación 'corona live 1.1' parece estar esperando más funcionalidad, almacena información de comando y control en recursos / valores / cadenas como es común en las muestras SpyMax y SpyNote, donde contiene la dirección codificada del servidor del atacante ", dijo.

VER: El coronavirus tiene un efecto importante en la industria tecnológica más allá de los retrasos en la cadena de suministro (PDF gratuito) (TechRepublic)

Los investigadores de Lookout lograron usar este dominio para descubrir otros 30 APK que tienen la misma infraestructura básica y son parte de una campaña de vigilancia más grande que comenzó en abril de 2019. Estas aplicaciones son parte de una familia más grande de software de vigilancia comercial que incluye SpyMax, SpyNote, SonicSpy, SandroRat y Mobihok.

Se han creado al menos tres nuevas aplicaciones relacionadas con el coronavirus utilizando la misma infraestructura que esas aplicaciones y la investigación de Lookout descubrió que se pueden rastrear a las direcciones IP operadas por Libyan Telecom and Technology, un proveedor de servicios de Internet para consumidores.

"La persona o grupo que ejecuta la campaña probablemente esté en Libia y use su propia infraestructura para ejecutar el C2, o esté aprovechando la infraestructura que han comprometido allí. Como las aplicaciones también están dirigidas específicamente a los usuarios libios, esto parece ser una vigilancia dirigida regionalmente esfuerzo ", escribió Del Rosso.

"Si bien los investigadores de Lookout no han visto nada en este momento que indique que se trata de una campaña patrocinada por el estado, el uso de estas familias de software de vigilancia comercial se ha observado en el pasado como parte de las herramientas utilizadas por los estados nacionales en el Medio Oriente. Mientras que la nación los estados pueden y desarrollan sus propias herramientas personalizadas, también se sabe que utilizan herramientas comerciales y de código abierto listas para usar, y a veces usan malware comercial o de código abierto como punto de partida para desarrollar su propio malware ," ella dijo.

Agregó que uno de los aspectos más preocupantes de esta campaña es que el malware que se usa se puede encontrar y comprar con bastante facilidad antes de personalizarlo. Otros investigadores con Lookout han descubierto una serie de vínculos entre estas aplicaciones, identificando que SpyNote y Mobihok tienen costos de licencia bastante baratos e incluso llegan a ofrecer soporte para que los usuarios configuren sus aplicaciones.

La facilidad de uso y las amplias ofertas de ayuda o soporte hacen que sea probable que otros usen estas aplicaciones y las personalicen para sus propios usos.

Desafortunadamente, esta no es la única estafa relacionada con el coronavirus que los ciberdelincuentes están aprovechando en este momento.

El experto en seguridad de Sophos, Chester Wisniewski, escribió otra publicación en el blog describiendo una nueva estafa en la que los ciberdelincuentes se hacen pasar por el recién desarrollado Fondo de Respuesta a la Solidaridad COVID-19, demostrando cuán inteligentes se han vuelto los cibercriminales al adaptar y actualizar sus métodos de ataque a medida que se desarrollan las noticias en tiempo real sobre COVID-19 .

"Dado que el miedo y el deseo de las personas de hacer algo con respecto a COVID-19 dominan las noticias, los delincuentes en línea también lo están explotando en todos los sentidos. Primero, Sophos notó que los atacantes de phishing usaban a la Organización Mundial de la Salud (OMS) como un señuelo. A continuación, numerosas pandillas de malware comenzaron a disfrazar sus productos maliciosos como documentos con el tema COVID-19. Ahora, hoy estamos viendo ciberatacantes haciéndose pasar por organizaciones benéficas de la OMS, esta vez el Fondo de Respuesta Solidaria COVID-19 ", dijo Wisniewski.

"Estos correos electrónicos son falsos, pero tienen un aspecto muy real y aprovechan las nuevas y hasta hace poco inéditas organizaciones caritativas. No hemos visto la naturaleza novedosa de este ataque antes: hacerse pasar por organizaciones benéficas alrededor de COVID-19. En cualquier momento el interés del público se vuelve fijo Sobre un tema, los estafadores, los spammers y los autores de malware se aferran a las noticias y están decididos a encontrar una manera de aprovechar la oportunidad. Hemos visto este tipo de actividad en el pasado, pero rara vez el mundo entero está tan concentrado en una cosa. , haciendo que esta oportunidad de desarrollar estafas sea demasiado buena para ser verdad para los cibercriminales ", dijo.

Agregó que casi toda la actividad maliciosa en línea que Sophos está viendo en este momento se ha aprovechado de una forma u otra del tema COVID-19 / Corona.

Los cibercriminales están inundando las bandejas de entrada con spam y estafas relacionadas con máscaras, curas falsas de guías para búnkeres a prueba de coronavirus.

Wisniewski dijo que las familias comunes de malware transmitidas por correo electrónico como Fareit y Trickbot se envían bajo la apariencia de correos electrónicos temáticos de los Centros para el Control y la Prevención de Enfermedades (CDC) y la Organización Mundial de la Salud (OMS).

Los hackers ahora fingen ser organizaciones benéficas asociadas con grupos de ayuda que abordan la propagación del coronavirus. Envían correos electrónicos solicitando el pago en Bitcoin y otras monedas criptográficas que buscan robar dinero y permanecer ocultos.

"Independientemente de si confía en su gobierno o no, los delincuentes lo envían por correo electrónico para explotar su miedo o desconfianza. Seamos claros. Si desea recibir consejos de quienes realmente saben lo que está sucediendo, visite el sitio web de su autoridad de salud local o ministerio de salud. Haga un marcador en su navegador para el sitio web * real * de la OMS en https://www.who.int, y si realmente desea hacer una contribución financiera a quienes nos ayudan a mantenernos seguros en esta lucha, no envíe Bitcoin, pero vaya al sitio web oficial del Fondo de Respuesta Solidaria COVID-19 en https://www.covid19responsefund.org/", Dijo Wisniewski.

Ver también

<a href = "https://tr4.cbsistatic.com/hub/i/r/2020/03/18/7cb2a33e-6608-45f3-87e0-c8bd1718fb05/resize/770x/06477ff8c9c388ebec8d9e9d2a25bba9/coronavirus-covid19- "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

"data-credit =" Imagen: Getty Images "rel =" noopener noreferrer nofollow ">SEÑAL DE ADVERTENCIA DE CORONAVIRUS

Imagen: Getty Images



Enlace a la noticia original