Hackers iraníes crean una puerta trasera para Android

En teoría, el sistema de Verificación o Autenticación en 2 pasos es una de las opciones de ciberseguridad más seguras del momento. Un código extra que recibimos en el móvil, por SMS, por mail, etc, y que sirve para validar el inicio de sesión después de haber metido la contraseña. Pero al parecer no es así, y en el escenario actual de espionaje, contraespionaje y ciberespionaje, el sistema ha sido reventado, al menos en Android.

Ciberguerra

La compañía de ciberseguridad Check Point Research desentrañó una operación de vigilancia en curso de entidades iraníes que ha tenido como objetivo a expatriados y disidentes iraníes durante años. Si bien algunos avistamientos individuales de este ataque fueron informados previamente por otros investigadores y periodistas, “nuestra investigación nos permitió conectar las diferentes campañas y atribuirlas a los mismos atacantes”.

Entre los diferentes vectores de ataque estaban:

- Cuatro variantes de infostealers de Windows destinados a robar los documentos personales de la víctima, así como el acceso a su Escritorio de Telegram y a la información de su cuenta KeePass

- Puerta trasera Android que extrae códigos de autenticación de dos factores de los mensajes SMS, graba los alrededores de donde esté el móvil usando su micro, y más

- Páginas de phishing de la app Telegram, distribuidas usando cuentas de servicio de Telegram falsas

Los instrumentos y métodos mencionados parecen utilizarse principalmente contra las minorías iraníes, las organizaciones antirreglamentarias y los movimientos de resistencia como:

- Asociación de Familias de Residentes del Campo de Ashraf y Libertad (AFALR)

- Organización Nacional de Resistencia de Azerbaiyán

- El pueblo de Baluchistán

La puerta trasera de Android



El arma usada para estas operaciones de espionaje fue una puerta trasera creada por un grupo de hackers para el sistema operativo Android. Un acceso encubierto y discreto con el que pueden extraer los códigos enviados mediante SMS en un sistema de verificación en 2 pasos, así como espiar las conversaciones registradas con el micrófono o acceder a la lista de contactos.
 


Por una parte, la campaña de espionaje dirige el 'malware' a equipos Windows, con el fin de tomar el control de la cuenta de Telegram de los usuarios en el cliente de escritorio y de obtener información del gestor de contraseñas KeePass. Por otra, a través de una aplicación para Android maliciosa, los ciberdelincuentes crean una puerta trasera en los dispositivos móviles que les permite acceder a los SMS del usuario.

¿De qué sirve esto? Pues de mucho, porque les permite interceptar el código enviado a través de SMS en un sistema de autenticación en dos pasos. Además, el control que obtienen sobre el dispositivo Android les permite recoger información de cuentas personales, listas de contactos y aplicaciones instaladas, así como activar el micrófono para grabar a la víctima y mostrar falsificaciones de la cuenta de Google.

Y por si estos dos frentes de ataque no fuesen suficientes, los hackers simularon la web y la cuenta oficial de Telegram para distribuir malware a través de ella. Aquí tenéis el exhaustivo análisis forense de Checkpoint, que reseña también como una app como Telegram puede convertirse en un arma que usar en conflictos del mundo real.