El Grupo de Análisis de Amenazas de Google (TAG) ha compartido información sobre una nueva amenaza que ha aprovechado las vulnerabilidades del tipo 0-day en contra dispositivos Android, iOS y Chrome. Se trata de la instalación de un nuevo tipo de spyware en los dispositivos de las víctimas.
¿Qué tiene de particular este spyware? Una característica destacada de este software espía es que, al parecer, fue creado por la empresa de inteligencia Variston, con sede en Barcelona. Los investigadores de Google dicen que han visto a piratas informáticos utilizar las herramientas de Variston en los Emiratos Árabes Unidos.
El spyware hecho en España se propaga por SMS
Según un informe publicado por TAG el miércoles pasado, se descubrieron ataques informáticos que apuntaban a usuarios de los Emiratos Árabes Unidos (EAU). Se reveló que los atacantes enviaban SMS con enlaces acortados a través de bit.ly. Cuando la víctima accedía a los enlaces, era dirigido primero a un sitio web que alojaba el exploit e inmediatamente después era redirigido a una página web legítima, para evitar sospechas.
De esta forma, el usuario era infectado con «un paquete de software espía de Android con todas las funciones» especialmente diseñado para capturar datos de aplicaciones de mensajería y navegador web.
Los primeros indicios de esta amenaza fueron detectados en noviembre de 2022 y es parte de una campaña que ha estado activa desde al menos el 2020. La misma, estaba inicialmente dirigida a personas de Indonesia, Bielorrusia, los Emiratos Árabes Unidos e Italia, atacando tanto a teléfonos móviles como a ordenadores.
¿Variston está detrás del spyware hecho en España?
“El actor que usa el spyware para apuntar a los usuarios de los EAU puede ser un cliente o socio de Variston, o trabajar en estrecha colaboración con el proveedor de spyware”, dice la publicación del blog. Sin embargo, hasta ahora no está claro quién está detrás de esta campaña de piratería.
Ralf Wegener y Ramanan Jayaraman, fundadores de Variston, eran los dueños de la empresa en 2018, según los registros comerciales españoles. El portal TechCrunch ha intentado contactarlos, pero ninguno de los dos miembros ha querido hacer declaraciones al respecto.
Para evitar la propagación del malware, Google ha lanzado actualizaciones para Android, Google Chrome y dispositivos Pixel. Esta actualización incluye parches que solucionan estas brechas de seguridad. También se ha puesto en contacto con los fabricantes de los dispositivos afectados por las vulnerabilidades detectadas.
Cómo protegerte de un enlace sospechoso enviado por SMS
Aprende a identificar enlaces maliciosos sin abrirlos. Si te ha llegado recientemente un enlace por SMS sospechoso, no accedas de inmediato, primero sigue estas 3 recomendaciones para estar seguro de que no es un spyware:
- Inspecciona el enlace. La mayoría de los enlaces que se muestran en los SMS son enlaces acortados, lo que dificulta la forma de inspeccionarlos o filtrarlos antes de que lleguen a su destino final. Lo bueno de las URL acortadas es que se pueden «expandir» antes de acceder a ellas, para ver realmente a dónde te llevará. En Internet puedes encontrar muchos sitios web que te ayudan a expandir las URL acortadas, por ejemplo: ExpandURL. Solo debes copiar o escribir la URL abreviada y te dice cuál es la URL más larga.
- Envía el enlace a un sitio de inspección. Copia o vuelve a escribir el enlace en un servicio de inspección de URL en línea como VirusTotal. Este inspeccionará el enlace y revisará el contenido resultante con todos los motores de escaneo antivirus URL que tiene disponibles.
- En caso de duda, bórralo. Una opción válida es simplemente descartar cualquier mensaje SMS inesperado que tenga un enlace.
El spyware por SMS está cobrando fuerza, por eso te recomendamos desarrollar el hábito de inspeccionar todas las URL de SMS que lleguen a tu móvil.
Fuente | Blog de Google, TechCrunch
