La empresa matriz de Facebook, Meta, reveló recientemente que tomó medidas contra dos operaciones de espionaje en el sur de Asia que aprovechaban sus plataformas de redes sociales para distribuir malware a objetivos potenciales.
La primera serie de actividades es la que la compañía describió como "persistente y con buenos recursos" y llevada a cabo por un grupo de hackers rastreado bajo el apodo de Bitter APT (también conocido como APT-C-08 o T-APT-17) que tenía como objetivo a personas de Nueva Zelanda, India, Pakistán y el Reino Unido.
"Bitter utilizó varias tácticas maliciosas para atacar a las personas en línea con ingeniería social e infectar sus dispositivos con malware", dijo Meta en su informe trimestral sobre amenazas adversas. "Utilizaron una mezcla de servicios de acortamiento de enlaces, dominios maliciosos, sitios web comprometidos y proveedores de alojamiento de terceros para distribuir su malware".
En los ataques, el actor de la amenaza creaba personajes ficticios en la plataforma, haciéndose pasar por mujeres jóvenes y atractivas, en un intento de crear confianza con los objetivos y atraerlos para que hicieran clic en enlaces falsos que desplegaban el malware.
Pero en un giro interesante, los atacantes convencieron a las víctimas para que descargaran una aplicación de chat de iOS a través de Apple TestFlight, un servicio legítimo en línea que puede utilizarse para probar aplicaciones en fase beta y proporcionar comentarios a los desarrolladores de aplicaciones.
"Esto significaba que los hackers no necesitaban depender de los exploits para entregar el malware personalizado a los objetivos y podían utilizar los servicios oficiales de Apple para distribuir la aplicación en un esfuerzo por hacerla parecer más legítima, siempre y cuando convencieran a la gente de descargar Apple Testflight y los engañaran para que instalaran su aplicación de chat", dijeron los investigadores.
Aunque se desconoce la funcionalidad exacta de la aplicación, se sospecha que se empleó como una táctica de ingeniería social para tener control sobre las víctimas de la campaña a través de un medio de chat orquestado específicamente para este fin.
Además, los operadores de Bitter APT utilizaron un malware para Android no documentado anteriormente, denominado Dracarys, que abusa de los permisos de accesibilidad del sistema operativo para instalar aplicaciones arbitrarias, grabar audio, capturar fotos y recoger datos sensibles de los teléfonos infectados, como registros de llamadas, contactos, archivos, mensajes de texto, geolocalización e información del dispositivo.
Dracarys se distribuía a través de aplicaciones troyanizadas que se hacían pasar por YouTube, Signal, Telegram y WhatsApp, continuando la tendencia de los atacantes a desplegar cada vez más malware disfrazado de software legítimo para entrar en los dispositivos móviles.
Además, en una señal de adaptación al adversario, Meta observó que el grupo contrarrestó sus esfuerzos de detección y bloqueo publicando enlaces rotos o imágenes de enlaces maliciosos en los hilos de chat, lo que obligaba a los destinatarios a escribir el enlace en sus navegadores.
Los orígenes de Bitter son una especie de rompecabezas, ya que no se dispone de muchos indicadores para vincularlos de forma concluyente a un país concreto. Se cree que opera desde el sur de Asia y que recientemente ha ampliado sus objetivos para atacar a entidades militares en Bangladesh.
El segundo colectivo desarticulado por Meta es Transparent Tribe (también conocido como APT36), una amenaza persistente avanzada que supuestamente tiene su base en Pakistán y que tiene un historial de ataques a organismos gubernamentales de India y Afganistán con herramientas maliciosas a medida.
El mes pasado, Cisco Talos atribuyó a este actor una campaña de phishing dirigida a estudiantes de varias instituciones educativas de la India, lo que supuso un cambio en su patrón de victimización habitual para incluir a usuarios civiles.
El último conjunto de intrusiones sugiere una amalgama, habiendo señalado a personal militar, funcionarios del gobierno, empleados de organizaciones de derechos humanos y otras sin fines de lucro y estudiantes ubicados en Afganistán, India, Pakistán, Arabia Saudita y los Emiratos Árabes Unidos.
Los objetivos se manipulaban socialmente utilizando personajes falsos, haciéndose pasar por reclutadores de empresas legítimas y falsas, personal militar o mujeres jóvenes y atractivas que buscaban una conexión romántica y finalmente los inducían a abrir enlaces que alojaban malware.
Los archivos descargados contenían LazaSpy, una versión modificada de un software de vigilancia de código abierto para Android llamado XploitSPY, al tiempo que hacían uso de aplicaciones clónicas no oficiales de WhatsApp, WeChat y YouTube para distribuir otro malware conocido como Mobzsar (también conocido como CapraSpy).
Ambas piezas de malware vienen con funciones para recopilar registros de llamadas, contactos, archivos, mensajes de texto, geolocalización, información del dispositivo y fotos, además de habilitar el micrófono del dispositivo, lo que las convierte en eficaces herramientas de vigilancia.
"Este actor de la amenaza es un buen ejemplo de una tendencia global en la que los grupos poco sofisticados optan por confiar en herramientas maliciosas disponibles abiertamente, en lugar de invertir en el desarrollo o la compra de capacidades ofensivas sofisticadas", señalan los investigadores.
Estas "herramientas básicas de bajo costo requieren menos conocimientos técnicos para su despliegue, pero a pesar de ello dan resultados a los atacantes", dijo la compañía, añadiendo que "democratiza el acceso a las capacidades de hacking y vigilancia, ya que la barrera de entrada se reduce."