Espías rusos hackean teléfonos con aplicaciones falsas para Android

Por Thomas Brewster Han descubierto un software espía para Android, supuestamente creado por uno de los proveedores de vigilancia del gobierno ruso. Y está escondido en aplicaciones falsas que se parecen a Evernote, Google Play, Pornhub y otras aplicaciones muy populares de este sistema operativo. La fuente de las aplicaciones de este malware, es conocida como Centro de Tecnología Especial (STC, por sus siglas en inglés), según un informe publicado el miércoles por investigadores de la empresa de ciberseguridad, Lookout, con sede en Canadá. La firma ubicada en San Petersburgo fue la última en los titulares después de haber sido golpeada con sanciones por el gobierno de Obama por los hackeos en las elecciones de 2016. Los investigadores encontraron que el spyware de STC recogió las contraseñas y convirtió los teléfonos en dispositivos de escucha. La herramienta, conocida como Monokle, puede grabar pantallas de inicio cuando los teléfonos están bloqueados para guardar claves de acceso, husmear en diccionarios de texto predictivo (para conocer los intereses del objetivo), grabar llamadas y escuchar a través del micrófono del teléfono infectado. El malware se ha dirigido a los teléfonos Android desde 2016, con un aumento en la actividad a principios del año pasado. Esta herramienta de espionaje viene oculta dentro de versiones falsas de aplicaciones reales, como Google Play, Evernote, Skype, el servicio de mensajería encriptada, Signal, y PornHub.

Los dispositivos móviles pueden hacer que las personas sean vulnerables a los hackeos en línea, a través de la configuración de privacidad.

En cuanto a la selección de aplicaciones copiadas, Lookout dijo que Monokle probablemente se dirigía a usuarios anglohablantes, así como a personas en las regiones del cáucaso (Armenia, Azerbaiyán, Georgia, y Rusia) y personas interesadas en el grupo militante, Ahrar al-Sham, en Siria. Este último se basó en una aplicación titulada Ahrar Maps. Además, de cualquier usuario con interés en una aplicación de mensajería llamada “UzbekChat”, que hace referencia a la antigua república soviética de Uzbekistán, también puede haber sido un objetivo. Adam Bauer, ingeniero de inteligencia de seguridad del personal senior de Lookout, dijo que era imposible saber a qué grupos específicos de angloparlantes se atacó, dada la amplitud de atractivo de esas aplicaciones. “Es muy difícil sacar conclusiones porque son aplicaciones muy populares”, agregó Bauer. Tampoco sabía cómo se estaba engañando a los objetivos para que descargaran el malware en primer lugar. Apple y Google han tenido conocimiento de los hallazgos, dijo Bauer. Apple no respondió a una solicitud de comentarios, y Google dijo que ninguna de las aplicaciones fue alojada en Play Store. Los usuarios de Android deberán recibir una advertencia si Google Play Protect detecta el malware en su dispositivo.

¿Qué es STC?

Los investigadores afirman que Monokle es el producto del Centro de Tecnología Especial, una compañía de vigilancia y ciberseguridad que se encuentra bajo las sanciones de los Estados Unidos. Poco se reveló sobre la compañía en las denuncias publicadas en diciembre de 2016, aparte de la acusación de que había ayudado a la agencia de inteligencia militar de Rusia, el GRU, “a realizar operaciones de inteligencia de señales”. Una fuente con conocimiento de la compañía, que pidió permanecer en el anonimato, dijo a Forbes que los ejecutivos del Centro son graduados de la Academia Militar de Comunicaciones de San Petersburgo, una escuela del Ministerio de Defensa que se encuentra a cinco minutos en automóvil del STC. Los documentos de registro de la empresa obtenidos por Forbes muestran a Alexander G. Mityanin como director del STC. Una entrevista con [rspectr.com] contiene una breve biografía de Mityanin, señalando que fue a la academia militar y que el Ministerio de Defensa ruso le ha otorgado numerosas medallas. Mityanin también es el director que aparece en el folleto de la conferencia de contratistas del gobierno ruso, FederalExpo. El documento señala que el STC se fundó en 2001 y que la compañía proporciona “sistemas de control de radio multifuncionales” para “virtualmente todo el poder de las estructuras federales de Rusia” (traducción de Google). También tiene licencias “para el desarrollo y la producción de armas y equipo militar”. El folleto muestra imágenes de un avión no tripulado, una camioneta de vigilancia y otros equipos de espionaje.

También lee: Alemania crea una maestría especial para espías

A Vladimir Mikhailov Alekseevich figura como CEO en los archivos de registro, mientras que el presidente es Aleksandr Shishkov. Había poca información disponible sobre los ejecutivos nombrados. Según Lookout, la compañía tiene alrededor de 1,500 empleados. El STC no había respondido a las solicitudes de comentarios en el momento de la publicación de este artículo.  Otro de los que figuran en las sanciones de Obama en 2016 fue Zorsecurity, también conocido como Esage Lab. Cuando Forbes habló con la fundadora, Alisa Esage, poco después de que llegaran las denuncias, ella afirmó que no tenía conocimiento de estar involucrada en las elecciones de 2016, y agregó que creía que se estaba convirtiendo en un chivo expiatorio. Hasta el día de hoy, el gobierno de los Estados Unidos no ha explicado qué roles desempeñaron ella, el STC y otro contratista llamado: Asociación Profesional de Diseñadores de Sistemas de Procesamiento de Datos, en el hackeo del Comité Nacional Demócrata y la filtración de miles de correos electrónicos embarazosos.

De Android a iPhone

El descubrimiento de la herramienta Android muestra que el STC se está sumando a sus capacidades de vigilancia, que anteriormente se centraba en la interceptación de comunicaciones por radio y satélite, en lugar de hackear teléfonos inteligentes. De hecho, la compañía es quizás mejor conocida como el fabricante del dron Orlan-10, que es utilizado por los militares rusos. Pero parece que este Centro se está diversificando en el software móvil para el iPhone de Apple, y no solo en los sistemas de Google. Ya que, Forbes encontró un anuncio de empleo del STC, en el que la compañía buscaba desarrolladores de iOS y Android en 2017. Lookout también dijo que tenía algunas pruebas de que la compañía también estaba desarrollando un malware para iPhone. Además, dentro del código para el software dañino de Android había un fragmento que se refiere al llavero de Apple, donde iOS almacena las contraseñas. Otros segmentos de código aparecieron para intentar obtener los detalles de inicio de sesión de HealthKit e iCloud. Lookout cree que estas referencias podrían haberse incluido, ya que puede haber un programa maligno de iPhone vinculado en la producción, utilizando una infraestructura similar. El STC también está creando herramientas cibernéticas defensivas para el gobierno, según encontró Lookout. Los investigadores dijeron que podían atribuir el código malicioso de Android a este Centro, porque utilizaba algunos de los mismos servidores y certificados de firma (diseñados para garantizar la autenticidad de las aplicaciones) como el software antivirus, Android Defender, creado también por el contratista ruso. El defensor fue comercializado al gobierno, según Lookout. La investigación de Lookout llegó la misma semana en que un contratista del gobierno ruso, Sytech, fue hackeado y se filtraron terabytes de archivos de su trabajo con el FSB (Servicio Federal de Seguridad) de Rusia. Al igual que EU, Rusia está luchando por mantener en secreto sus operaciones clandestinas.

No te pierdas: Virus que ‘se esconde’ en WhatsApp ya infectó 25 millones de dispositivos