¿Oye la sirena? ¿No? Ya no la volverá a oír: hackers han arrebatado la última esperanza de rescate
El smartphone dejó de responder y empezó a vigilarlo todo.
En Israel se ha detectado una nueva campaña de espionaje que se hace pasar por un conocido servicio de alertas de emergencia. Los atacantes envían SMS ofreciendo instalar una supuesta versión actualizada de la aplicación de avisos sobre amenazas de cohetes, y en lugar del programa legítimo las víctimas reciben un software malicioso de vigilancia.
Sobre el hallazgo informó el equipo Acronis Threat Research Unit. Los especialistas detectaron la aplicación maliciosa el 1 de marzo — después de que residentes de Israel comenzaran a quejarse de mensajes sospechosos en redes sociales. Según la compañía, el ataque probablemente tenga carácter masivo, y el número exacto de infecciones exitosas aún se desconoce. La Dirección Nacional de Ciberseguridad de Israel y los principales medios locales ya han publicado advertencias sobre la campaña.
Como cebo, los atacantes usaron SMS falsos en nombre del servicio oficial Oref Alert, que envía avisos sobre ataques con cohetes. En los mensajes se sugería descargar una nueva versión de la aplicación a través de un enlace acortado bit.ly. El enlace no dirigía a la actualización legítima Red Alert, sino a la descarga del programa espía.
Según Acronis, tras la campaña podría estar el grupo Arid Viper, vinculado a Hamás, conocido también por ataques a usuarios israelíes de Android, iPhone y Windows desde 2013. El malware solicita 20 permisos, y los más peligrosos dan acceso a la localización precisa, a los SMS, a los contactos y a las cuentas guardadas en el dispositivo.
El análisis mostró que la aplicación puede superponer ventanas falsas sobre otras aplicaciones. Este método permite interceptar códigos de un solo uso, credenciales, contraseñas y datos de pago. Tras reiniciar el smartphone, el programa se inicia de nuevo, y la información recopilada se envía constantemente a un servidor remoto de control. Una mecánica similar ha sido documentada en varias otras campañas que emplean software espía para dispositivos móviles.
Eliad Kimchi de Acronis dijo a The Register que los desarrolladores del malware intentaron dar a la aplicación apariencia de software legítimo. Para enmascararla usaron certificados falsos y la suplantación de la fuente de instalación, por lo que Android podía mostrar la descarga como una instalación desde Google Play.
Santiago Pontiroli de Acronis vinculó la nueva oleada de ataques con una nueva escalada de tensión militar en la región. Según él, durante tales crisis los grupos cibernéticos explotan activamente la temática de los ataques con cohetes, las notificaciones de alarma y las actualizaciones urgentes para recopilar inteligencia y rastrear objetivos de interés operativo.