Hackers iran��es crean una puerta trasera para Android

El hack permite robar c��digos de verificaci��n en 2 pasos, espiar conversaciones y acceder a los contactos.

Actualizado a 22 de septiembre de 2020 15:37 CEST

En teor��a, el sistema de Verificaci��n o Autenticaci��n en 2 pasos es una de las opciones de ciberseguridad m��s seguras del momento. Un c��digo extra que recibimos en el m��vil, por SMS, por mail, etc, y que sirve para validar el inicio de sesi��n despu��s de haber metido la contrase?a. Pero al parecer no es as��, y en el escenario actual de espionaje, contraespionaje y ciberespionaje, el sistema ha sido reventado, al menos en Android.

Ciberguerra

La compa?��a de ciberseguridad Check Point Research desentra?�� una operaci��n de vigilancia en curso de entidades iran��es que ha tenido como objetivo a expatriados y disidentes iran��es durante a?os. Si bien algunos avistamientos individuales de este ataque fueron informados previamente por otros investigadores y periodistas, ��nuestra investigaci��n nos permiti�� conectar las diferentes campa?as y atribuirlas a los mismos atacantes��.

Entre los diferentes vectores de ataque estaban:

- Cuatro variantes de infostealers de Windows destinados a robar los documentos personales de la v��ctima, as�� como el acceso a su Escritorio de Telegram y a la informaci��n de su cuenta KeePass

- Puerta trasera Android que extrae c��digos de autenticaci��n de dos factores de los mensajes SMS, graba los alrededores de donde est�� el m��vil usando su micro, y m��s

- P��ginas de phishing de la app Telegram, distribuidas usando cuentas de servicio de Telegram falsas

Los instrumentos y m��todos mencionados parecen utilizarse principalmente contra las minor��as iran��es, las organizaciones antirreglamentarias y los movimientos de resistencia como:

- Asociaci��n de Familias de Residentes del Campo de Ashraf y Libertad (AFALR)

- Organizaci��n Nacional de Resistencia de Azerbaiy��n

- El pueblo de Baluchist��n

La puerta trasera de Android??

El arma usada para estas operaciones de espionaje fue una puerta trasera creada por un grupo de hackers para el sistema operativo Android. Un acceso encubierto y discreto con el que pueden extraer los c��digos enviados mediante SMS en un sistema de verificaci��n en 2 pasos, as�� como espiar las conversaciones registradas con el micr��fono o acceder a la lista de contactos.? ?

Por una parte, la campa?a de espionaje dirige el 'malware' a equipos Windows, con el fin de tomar el control de la cuenta de Telegram de los usuarios en el cliente de escritorio y de obtener informaci��n del gestor de contrase?as KeePass. Por otra, a trav��s de una aplicaci��n para Android maliciosa, los ciberdelincuentes crean una puerta trasera en los dispositivos m��viles que les permite acceder a los SMS del usuario.

?De qu�� sirve esto? Pues de mucho, porque les permite interceptar el c��digo enviado a trav��s de SMS en un sistema de autenticaci��n en dos pasos. Adem��s, el control que obtienen sobre el dispositivo Android les permite recoger informaci��n de cuentas personales, listas de contactos y aplicaciones instaladas, as�� como activar el micr��fono para grabar a la v��ctima y mostrar falsificaciones de la cuenta de Google.

Y por si estos dos frentes de ataque no fuesen suficientes, los hackers simularon la web y la cuenta oficial de Telegram para distribuir malware a trav��s de ella. Aqu�� ten��is el exhaustivo an��lisis forense de Checkpoint, que rese?a tambi��n como una app como Telegram puede convertirse en un arma que usar en conflictos del mundo real. ??