Investigadores de la empresa de ciberseguridad ESET han sacado a la luz una serie de campañas de espionaje mediante aplicaciones maliciosas en Google Play Store y Samsung Galaxy Store.
Estas campañas, que involucran aplicaciones maliciosas diseñadas para entregar el software espía BadBazaar en dispositivos Android, han sido atribuidas a un actor vinculado a China, el grupo APT GREF.
Desde el 2020 y 2022, estas campañas de espionaje han estado en acción, distribuyendo el troyano Android BadBazaar a través de canales aparentemente legítimos como la Google Play Store y la Samsung Galaxy Store, así como sitios web maliciosos. Lukáš Štefanko, investigador de seguridad de ESET, comparte en un informe que las aplicaciones maliciosas, que aparentan ser versiones de Signal y Telegram, han sido el vehículo para infiltrar los dispositivos de las víctimas. Esta revelación plantea serias preocupaciones sobre la seguridad de las tiendas de aplicaciones y la necesidad de vigilancia constante.
La amplitud de impacto de estas campañas es asombrosa, con víctimas identificadas principalmente en países como Alemania, Polonia y Estados Unidos. Sin embargo, lo que añade un nivel adicional de preocupación es el enfoque en comunidades específicas, como la comunidad uigur en China. Las tácticas de engaño utilizadas para persuadir a estas comunidades a instalar aplicaciones maliciosas arrojan luz sobre la complejidad y la planificación detrás de estas operaciones.
Uno de los aspectos más inquietantes de estas campañas es la capacidad de los atacantes para manipular características esenciales de aplicaciones legítimas. En el caso de Signal, han encontrado una forma de vincular dispositivos de manera encubierta, permitiéndoles espiar las comunicaciones sin el conocimiento del usuario. Además, las aplicaciones maliciosas están diseñadas para recopilar y filtrar datos confidenciales, como registros de llamadas y mensajes SMS, lo que plantea serias preocupaciones sobre la privacidad de los usuarios.
Lee también: Científicos crean un robot que se derrite
La técnica de evasión utilizada por los atacantes es también notable. Al evitar el escaneo de código QR y el proceso de clic del usuario, el malware BadBazaar puede vincular discretamente el dispositivo de la víctima con el del atacante. Esto permite que se realice una vigilancia encubierta de las comunicaciones de Signal sin el conocimiento de la víctima. FlyGram, otra de las aplicaciones involucradas, utiliza una función de fijación SSL para dificultar la interceptación y el análisis del tráfico de red.
Si bien ESET ha atribuido estas campañas a APT GREF, también se ha especulado sobre una posible conexión con el grupo APT15. La falta de evidencia definitiva ha llevado a la continuidad de la investigación en curso para aclarar esta relación. Mientras tanto, el grupo GREF sigue siendo rastreado como una entidad independiente, y su posible conexión con China agrega un elemento adicional de intriga a la historia.
El descubrimiento de estas campañas de espionaje subraya la importancia de la educación continua en ciberseguridad y la adopción de soluciones de seguridad sólidas. La colaboración entre investigadores y la industria también juega un papel crucial en la identificación y neutralización de amenazas cibernéticas.
En un mundo donde la tecnología avanza rápidamente, la ciberseguridad es un desafío constante. Estas campañas de espionaje son un recordatorio contundente de que la vigilancia y la adaptación son esenciales para proteger nuestra privacidad y seguridad en línea. Con actores de amenazas cada vez más ingeniosos y persistentes, la lucha por la ciberseguridad está lejos de terminar.
