Después de que un programador ruso fue detenido por el Servicio Federal de Seguridad de Rusia (FSB) durante quince días y su teléfono fue confiscado, se descubrió que un nuevo software espía fue instalado secretamente en su dispositivo cuando lo devolvieron.
El programador Kirill Parubets fue arrestado por el FSB tras ser acusado de realizar donaciones a Ucrania. Tras recuperar el acceso a su dispositivo móvil, el programador sospechó que el gobierno ruso lo había manipulado, ya que mostraba un comportamiento inusual y mostraba una notificación que decía «Sincronización Arm Cortex VX3».
Después de compartirlo con Citizen Lab para un análisis forense, los investigadores confirmaron que se había instalado un software espía en el dispositivo que se hacía pasar por una aplicación legítima y popular de Android, ‘Cube Call Recorder’, que tiene más de 10.000.000 de descargas en Google Play.
Sin embargo, a diferencia de la aplicación legítima, el software espía tiene acceso a una amplia gama de permisos, lo que le otorga acceso sin restricciones al dispositivo y permite a los atacantes monitorear las actividades en el teléfono.
Citizen Lab informa que el malware parece ser una nueva versión de Monokle, descubierto por primera vez por Lookout en 2019 , desarrollado por Special Technology Center, Ltd., con sede en San Petersburgo.
También es posible que el nuevo malware descubierto en el dispositivo de Parubets sea una nueva herramienta que utiliza partes del código Monokle como base.
«Las numerosas similitudes significativas en operaciones, funcionalidades y motivaciones geopolíticas nos llevan a evaluar que se trata de una versión actualizada del software espía Monokle o de un nuevo software creado reutilizando gran parte del mismo código», explica Citizen Lab.
El nuevo spyware
El software espía implantado por FSB en el teléfono del programador utiliza un proceso cifrado de dos etapas que refleja la arquitectura del Monokle original pero incluye avances en el cifrado y cambios en sus permisos.
Sus capacidades incluyen:
- Seguimiento de ubicación cuando está inactivo
- Acceda al contenido de SMS, a la lista de contactos y a las entradas del calendario.
- Grabar llamadas telefónicas, actividad de la pantalla y vídeos (a través de la cámara)
- Extraer mensajes, archivos y contraseñas
- Ejecutar comandos de shell y descifrar datos
- Realizar un registro de teclas para capturar datos confidenciales y contraseñas
- Acceder a los mensajes desde las aplicaciones de mensajería
- Ejecutar comandos de shell e instalar paquetes (APK)
- Extraer contraseñas almacenadas en el dispositivo y también la contraseña de desbloqueo del dispositivo
- Exfiltrar archivos del dispositivo
Citizen Labs señala que la segunda etapa contiene la mayor parte de la funcionalidad del software espía y también incluye archivos cifrados con nombres aparentemente aleatorios para complicar la detección.
Los analistas también informan que encontraron referencias a iOS en el código del spyware, lo que apunta a la posibilidad de una variante que se ejecute en dispositivos iPhone de Apple.
Los cambios de permisos notables desde la versión 2019 (última documentada) son la adición de ‘ACCESS_BACKGROUND_LOCATION’ e ‘INSTALL_PACKAGES’ y la eliminación de ‘USE_FINGERPRINT’ y ‘SET_WALLPAPER’.
Las personas a quienes las fuerzas del orden les confisquen su dispositivo y luego lo devuelvan deberán cambiarlo por otro o entregarlo a expertos para su análisis.
Quienes viven en países opresivos deberían considerar el uso de dispositivos «quemadores» cuando estén fuera y corran el riesgo de ser arrestados arbitrariamente, utilizar mecanismos anti-spyware como el modo Lockdown de Apple y mantener el sistema operativo y las aplicaciones actualizados.
Fuente: Tomado y Traducido de: bleepingcomputer.com