Lucid: el grupo XinXin ha hackeado canales seguros de comunicación en iOS y Android
El grupo XinXin roba tus datos incluso desde un coche en movimiento.
Ciberdelincuentes de China están promoviendo activamente la plataforma de phishing Lucid, diseñada para realizar ataques masivos contra usuarios de dispositivos móviles. Desde su lanzamiento a mediados de 2023, ha sido utilizada para atacar a 169 organizaciones en 88 países. A diferencia de los envíos tradicionales por SMS, Lucid utiliza canales de comunicación seguros —iMessage de Apple y RCS en Android— lo que le permite evadir filtros antispam y ampliar considerablemente su alcance.
La plataforma se distribuye bajo un modelo de suscripción a través de un canal de Telegram, que ya cuenta con unos 2000 miembros. Por una tarifa semanal, los atacantes obtienen acceso a más de mil dominios de phishing, herramientas avanzadas de envío y funciones para generar sitios falsos. Estos sitios imitan servicios populares y entidades gubernamentales como USPS, DHL, Amazon, Amex, HSBC, E-ZPass y otros.
Los especialistas de Prodaft descubrieron que Lucid es operada por el grupo chino XinXin, previamente vinculado al uso de otra plataforma similar, Darcula v3. Este hecho podría indicar una conexión tecnológica u organizativa entre ambos servicios.
Lucid envía hasta 100 000 mensajes de phishing diarios, a menudo disfrazados como avisos sobre impuestos, entregas o multas por peajes impagados. Estos mensajes incluyen logotipos falsos, están adaptados al idioma y región de la víctima, y emplean filtros de geolocalización para aumentar la probabilidad de respuesta.
Ejemplos de mensajes de phishing (PRODAFT)
Los atacantes emplean verdaderas “granjas” de dispositivos iOS y Android, en los que se configuran Apple ID temporales y se explotan vulnerabilidades de los operadores móviles para enviar mensajes masivamente.
Granja de iPhones. En las pantallas de algunos teléfonos se muestran datos robados de tarjetas de crédito y el envío masivo de mensajes iMessage fraudulentos (PRODAFT)
Prodaft publicó un video que muestra ataques realizados directamente desde un vehículo en movimiento. Según los analistas, estas demostraciones sirven como publicidad: destacan la facilidad de participación en campañas de phishing incluso para personas sin formación técnica.
En las páginas de phishing, las víctimas introducen datos personales y financieros —nombre, dirección, número de tarjeta y otra información sensible. Las tarjetas válidas se venden posteriormente a otros delincuentes o se usan para el robo directo de fondos.
El uso de Lucid reduce la barrera de entrada al mundo del cibercrimen. Los novatos pueden lanzar campañas de phishing sin conocimientos técnicos ni grandes inversiones, lo que contribuye a la propagación de estos ataques y mejora su organización. Según Prodaft, la amplia adopción de Lucid se debe no solo a sus ventajas técnicas, sino también a su modelo comercial. Las actualizaciones periódicas, la automatización y una interfaz intuitiva hacen que el servicio resulte atractivo para delincuentes enfocados en ataques masivos y de bajo costo.
Para no convertirse en víctima, se recomienda actuar con cautela: no hacer clic en enlaces de mensajes inesperados y verificar la información directamente en los sitios oficiales de los servicios.