Malware de mensajería Android apunta a activistas tibetanos

Un análisis de una pieza de spyware de Android dirigida a una prominente figura política tibetana sugiere que pudo haberse construido para determinar la ubicación exacta de la víctima.

La investigación, realizada por Citizen Lab en la Universidad de Toronto Munk School of Global Affairs es parte de un proyecto en curso que analiza cómo la comunidad tibetana sigue siendo atacada por sofisticadas campañas de cyberspying.

Citizen Lab obtuvo una muestra de una aplicación llamada KaKaoTalk de una fuente tibetana en enero, según a su blog. KaKaoTalk, creado por una empresa de Corea del Sur, es una aplicación de mensajería que también permite a los usuarios intercambiar fotos, videos e información de contacto.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

La aplicación fue recibida en enero.16 a través del correo electrónico por una "figura política de alto perfil en la comunidad tibetana", escribió Citizen Lab. Pero el correo electrónico se falsificó para que pareciera provenir de un experto en seguridad de la información que tuvo contacto previo con la figura tibetana en diciembre.

En ese momento, el experto en seguridad envió al activista tibetano una versión legítima del paquete de aplicaciones Android de KaKaoTalk. Archivo (APK) como alternativa al uso de WeChat, otro cliente de chat, debido a preocupaciones de seguridad de que WeChat podría usarse para monitorear las comunicaciones.

Pero la versión de KaKaoTalk para Android se modificó para registrar los contactos, SMS y dispositivos móviles de la víctima configurar la red telefónica y transmitirla a un servidor remoto, que se creó para imitar a Baidu, el portal chino y el motor de búsqueda.

El malware es capaz de registrar información como la ID de la estación base, ID de torre, código de red móvil y código de área del teléfono, dijo Citizen Lab. Esa información generalmente no es de mucha utilidad para un estafador que intenta realizar fraudes o robo de identidad.

Pero es útil para un atacante que tiene acceso a la infraestructura técnica de un proveedor de comunicaciones móviles.

"Es casi seguro representa la información que un proveedor de servicios de telefonía móvil requiere para iniciar escuchas ilegales, a menudo denominada "trampa y seguimiento", escribió Citizen Lab. "Los actores de este nivel también tendrían acceso a los datos necesarios para realizar la triangulación de radiofrecuencia en función de los datos de señal de múltiples torres, ubicando al usuario dentro de un área geográfica pequeña".

El Citizen Lab notó que su teoría es especulativa y que "es posible que un actor recopile estos datos de forma oportunista sin acceso a dicha información de red celular".

La versión alterada de KaKaoTalk tiene muchos rasgos sospechosos: utiliza un certificado falsificado y solicita permisos adicionales para ejecutarlo. un dispositivo Android. Los dispositivos Android generalmente prohíben instalar aplicaciones desde fuera de Play Store de Google, pero esa precaución de seguridad puede ser deshabilitada.

Si se engaña a los usuarios para que otorguen permisos adicionales, la aplicación se ejecutará. Citizen Lab observa que los tibetanos pueden no tener acceso a Play Store de Google y deben instalar aplicaciones alojadas en otros sitios, lo que los pone en mayor riesgo.

Citizen Lab probó la versión manipulada de KaKaoTalk contra tres escáneres antivirus móviles hechos por Lookout Mobile Security, Avast y Kaspersky Lab el 6 de febrero y el 27 de marzo. Ninguno de los productos detectó el malware.

Citizen Lab escribió que el hallazgo muestra que los que están apuntando a la comunidad tibetana cambian rápidamente sus tácticas.

Tan pronto como comenzaron las discusiones para alejarse de WeChat, los atacantes "aprovecharon este cambio, duplicaron un mensaje legítimo y produjeron una versión maliciosa de una aplicación que circulaba como alternativa posible", escribió Citizen Lab.