¿Instalaste Telegram? Felicidades, ahora tienes un supervisor desde China
Cuanto más seguro es una aplicación, mayor es la probabilidad de que te estén vigilando.
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) publicó un informe técnico conjunto con la alianza Five Eyes, en el que se describe una nueva campaña activa de espionaje. El ataque está liderado por el grupo APT chino GREF, cuyos instrumentos apuntan tanto a usuarios de Android como de iOS. Los principales objetivos de los ataques son minorías étnicas y religiosas, incluidos tibetanos y uigures, así como activistas, periodistas y miembros de la diáspora.
El principal mecanismo de distribución del software malicioso son copias falsas de mensajeros populares. Aplicaciones falsas como “Signal Plus Messenger” y “Telegram from Plus” son en realidad versiones modificadas del código abierto original, en las que los atacantes han integrado funciones de vigilancia encubierta. Una vez instaladas, estas apps pueden transmitir datos del usuario, su geolocalización, historial de llamadas, lista de contactos e incluso interceptar conversaciones.
La infección de dispositivos Android se realiza mediante archivos APK distribuidos en tiendas de aplicaciones no oficiales y enlaces de phishing. El backdoor BADBAZAAR se activa inmediatamente después del lanzamiento y se conecta a un servidor de comando, al que envía los datos recolectados. Además, el malware puede cambiar su comportamiento en función de la configuración recibida desde el servidor C2, lo que dificulta su detección.
En dispositivos Apple se emplea otro método. La herramienta MOONSHINE se implanta a través de enlaces web que dirigen a sitios especialmente preparados con exploits adaptados a versiones específicas de iOS. La campaña demuestra un alto nivel de sofisticación: los atacantes camuflan cuidadosamente los recursos como si fueran servicios legítimos y aprovechan vulnerabilidades en Safari para tomar el control del dispositivo.
Las víctimas suelen ser personas que ya estaban bajo vigilancia estatal, lo que indica que la campaña está dirigida contra ciertos grupos. Los expertos señalan que los malwares ya se habían detectado entre 2020 y 2022, pero actualmente han regresado activamente con funciones actualizadas y adaptaciones a sistemas modernos.
Los especialistas de Five Eyes advierten que estos ataques podrían ir más allá de los intereses geopolíticos actuales y ser utilizados para espionaje a mayor escala. Especial preocupación genera la capacidad de interceptar mensajes en tiempo real, especialmente cuando se utilizan apps con función de duplicación en otros dispositivos.
El informe incluye recomendaciones para reducir riesgos: se aconseja a los usuarios descargar aplicaciones solo desde tiendas oficiales, evitar APK de terceros y mantener actualizado el sistema de seguridad. A las organizaciones se les recomienda vigilar señales de compromiso y aplicar medidas de protección, incluyendo control del tráfico, análisis del comportamiento de dispositivos y bloqueo de dominios maliciosos.