Un grupo de ciber espionaje que se cree que opera desde India y Pakistán ha estado espiando a miles de personas mediante el uso de malware que se hace pasar por aplicaciones populares de mensajería segura, según un nuevo informe de Facebook.
El informe detalla los esfuerzos de un grupo conocido como Bitter APT, que ha estado instalando malware en dispositivos Android a través de versiones falsas de las aplicaciones de mensajería encriptada WhatsApp, Signal y Telegram, que ha ganado popularidad entre los ucranianos como una herramienta para comunicar información sobre los rusos.
Invasión (APT significa "Amenaza Persistente Avanzada" y es una designación que se suele dar a los grupos de piratería patrocinados por el estado). Apodado "Dracarys", un nombre que se encuentra en el código del malware y una posible referencia a Game of Thrones ,
Facebook dice que el malware puede desviar todo tipo de información de un dispositivo Android, incluidos registros de llamadas, contactos, archivos, mensajes de texto y datos de geolocalización. También puede acceder a la cámara y al micrófono de un dispositivo.
Dracarys se ha propagado en los sitios de redes sociales de Meta, Facebook e Instagram, por piratas informáticos que se hacen pasar por atractivas mujeres jóvenes, periodistas o activistas, que convencen a sus objetivos para que descarguen la aplicación falsa.
Una vez que lo han hecho, Dracarys abusa de las funciones de accesibilidad destinadas a ayudar a los usuarios con discapacidades a hacer clic automáticamente y otorgar amplios permisos del dispositivo, como la capacidad de acceder a la cámara.
Según Facebook, ese truco significaba que el malware podría recopilar datos en el teléfono y parecer legítimo, lo que significa que los sistemas antivirus no pudieron detectarlo. “Muestra que Bitter ha logrado volver a implementar la funcionalidad maliciosa común de una manera que no fue detectada por la comunidad de seguridad durante algún tiempo”, escribió Facebook en su informe.
Anteriormente, los informes de Forbes encontraron vínculos entre Bitter APT y el gobierno indio, después de que el grupo adquiriera las herramientas de piratería de Microsoft Windows de una empresa estadounidense.
El gigante de las redes sociales propiedad de Meta no dijo si creía que Bitter APT era de origen indio, pero señaló que operaba desde el sur de Asia, apuntando a personas en Nueva Zelanda, India, Pakistán y el Reino Unido. La división de investigación de ciberseguridad Talos de Cisco dijo recientemente que el grupo ha estado realizando ataques desde 2013 contra entidades de energía, ingeniería y gubernamentales en China, Pakistán y Arabia Saudita.
Es posible que Android no haya sido el único objetivo de Bitter APT. Facebook también vio a las personas falsas del grupo distribuyendo enlaces a descargas de una aplicación de chat para iPhone.
Los piratas informáticos intentaron convencer a los objetivos para que descargaran el servicio Testflight de Apple para desarrolladores para probar aplicaciones y luego instalar la aplicación de chat.
Al usar Testflight, los piratas informáticos no tuvieron que confiar en un truco técnico sofisticado del iPhone, solo en sus habilidades de ingeniería social. Facebook no pudo determinar si este software realmente contenía algún código malicioso, pero teorizó que "puede haber sido utilizado para una mayor ingeniería social en un medio de chat controlado por un atacante". La compañía informó sus hallazgos a Apple.
Apple no había proporcionado comentarios al momento de la publicación.
Un portavoz de Google dijo: “El malware de Android no se cargó ni distribuyó a través de Play Store. Todos los dominios de distribución han sido bloqueados en Google Safe Browsing y los usuarios de Android que hayan instalado estos paquetes recibirán una advertencia en su dispositivo”.
El jueves, Facebook también anunció acciones contra una unidad de piratería del gobierno con sede en Pakistán conocida como APT36. También estaba creando herramientas de espionaje de Android disfrazadas de aplicaciones, incluidas WhatsApp, la red social china WeChat y YouTube.
Ese malware era efectivamente una versión modificada de una conocida herramienta de Android conocida como XploitSPY, "desarrollada originalmente por un grupo de hackers éticos auto informados en India". También era capaz de husmear en contactos, listas de llamadas y escuchar a las víctimas a través del micrófono del dispositivo. APT36 había sido visto apuntando a personas en Afganistán, India, Pakistán, Emiratos Árabes Unidos y Arabia Saudita, “incluido personal militar, funcionarios gubernamentales, empleados de derechos humanos y otras organizaciones sin fines de lucro, y estudiantes”.
Mike Dvilyanski, jefe de investigaciones de ciber espionaje de Facebook, dijo que Meta ha identificado 10.000 usuarios en al menos nueve países que pueden haber sido atacados por APT36 y Bitter APT y está en proceso de advertir a los usuarios directamente a través de Facebook e Instagram. “Si creemos que podría haber entrado en contacto con alguno de estos grupos, queremos alertarlo y decirle las herramientas que puede usar para asegurar su presencia en línea”, dijo a Forbes .
Ni las embajadas de Pakistán ni la de India en Londres habían respondido a las solicitudes de comentarios en el momento de la publicación.