COLOMBIA (AndeanWire, 08 de Julio de 2014) Kaspersky Lab publicó un nuevo informe de investigación en donde mapea una infraestructura internacional masiva utilizada para controlar implantes de malware "Remote Control System" (RCS), e identificó Troyanos para móviles que no habían sido descubiertos y que trabajan tanto en Android como en iOS. Estos módulos son parte de la llamada herramienta de spyware 'legal', RCS, también conocida como Galileo, desarrollada por la empresa italiana Hacking Team.La lista de víctimas indicada en la nueva investigación, llevada a cabo por Kaspersky Lab en conjunto con su socio Citizen Lab, incluye activistas y defensores de los derechos humanos, así como periodistas y políticos.
Infraestructura del RCS
Kaspersky Lab ha estado trabajando en diferentes frentes para localizar los servidores de comando y control (C&C) de Galileo en todo el mundo. Para el proceso de identificación, los expertos de Kaspersky Lab se basaron en indicadores especiales y en datos de conectividad por ingeniería inversa de las muestras existentes.
Durante el análisis más reciente, los investigadores de Kaspersky Lab pudieron mapear la presencia de más de 320 servidores RCS, C&C en más de 40 países. La mayoría de los servidores estaban instalados en los Estados Unidos, Kazajstán, Ecuador, Reino Unido y Canadá.
Al hacer comentarios con relación a los últimos descubrimientos, Sergey Golavanov, Investigador Principal de Seguridad en Kaspersky Lab, dijo: "La presencia de estos servidores en un país dado no quiere decir que son utilizados por los organismos encargados de hacer cumplir la ley de ese país en particular. Sin embargo, sí hace sentido que los usuarios del RCS implementen C&Cs en ubicaciones que ellos controlan – en donde haya riesgos mínimos de cuestiones jurídicas transfronterizas o embargos de servidores".
Implantes para móviles del RCS
A pesar de que en el pasado se sabía que existían Troyanos para móviles de Hacking Team para iOS y Android, nadie en realidad los había identificado antes – o había notado que se usaran en ataques. Los expertos de Kaspersky Lab han estado investigando el malware de RCS durante dos años. A principios de este año pudieron identificar algunas muestras de módulos móviles que correspondían con otros perfiles de configuración del malware de RCS en su colección. Durante la reciente investigación, también se recibieron de las víctimas nuevas variantes de muestras a través de la red KSN basada en la nube de Kaspersky Lab. Además, los expertos de la compañía trabajaron estrechamente con Morgan Marquis-Boire de Citizen Lab, quien ha estado investigando el conjunto de malware de HackingTeam ampliamente.
Vectores de infección: Los operadores de Galileo RCS construyeron un implante malicioso específico para cada objetivo concreto. Una vez que la muestra está lista, el atacante la envía al dispositivo móvil de la víctima. Algunos de los vectores de infección conocidos incluyen "spearphishing" mediante ingeniería social – a menudo en conjunto con "exploits", incluyendo días-cero; e infecciones locales a través de cables USB mientras se sincronizan los dispositivos móviles.
Uno de los descubrimientos más importantes ha sido aprender precisamente cómo un Troyano para móvil de Galileo infecta un iPhone: para ello, se requiere hacerle "jailbreak" al dispositivo. No obstante, iPhones sin jailbreak pueden volverse vulnerables también: un atacante puede ejecutar una herramienta de jailbreak como 'Evasi0n' a través de una computadora previamente infectada y realizar un jailbreak remoto, seguido de la infección. Para evitar riesgos de infección, los expertos de Kaspersky Lab recomiendan que ante todo, no suprima las limitaciones impuestas a través de un jailbreak en su iPhone, y también que constantemente actualice a la última versión del iOS en su dispositivo.
Espionaje personalizado: Los módulos móviles del RCS están meticulosamente diseñados para funcionar de manera discreta, por ejemplo, prestando especial atención a la duración de la batería de los dispositivos móviles. Esto se lleva a cabo a través de capacidades de espionaje cuidadosamente personalizadas, o disparadores especiales: por ejemplo, una grabación de audio puede iniciar sólo cuando la víctima está conectada a una red Wi-Fi concreta (por ejemplo, la red de una empresa de medios), o cuando la víctima cambie la tarjeta SIM, o mientras el dispositivo se está cargando.
En general, los Troyanos para móviles de RCS son capaces de realizar muchos tipos diferentes de funciones de vigilancia, incluyendo el reporte de la ubicación del objetivo, tomar fotografías, copiar eventos del calendario, registrar nuevas tarjetas SIM que se inserten en el dispositivo infectado, e interceptar llamadas telefónicas y mensajes; estos incluyen mensajes que se envían desde aplicaciones específicas tales como Viber, WhatsApp y Skype, además de los textos SMS normales.
Detección: Los productos Kaspersky Lab detectan las herramientas de spyware RCS/DaVinci/Galileo como:Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir and Backdoor.AndroidOS.Criag.
Para obtener más información, lea nuestro blog en Securelist.com.
Acerca de Kaspersky Lab
Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 16 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Para obtener mayor información, visite http://latam.kaspersky.com.
*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2012. La clasificación fue publicada en el reporte IDC del "Pronóstico Mundial de Endpoint Security 2013-2017 y Acciones de Proveedores 2012" – (IDC #242618, agosto de 2013). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de seguridad de endpoint en 2012.