Meta: 8 empresas de spyware dirigidas a dispositivos iOS, Android y Windows

Meta Platforms dijo que tomó una serie de medidas para reducir la actividad maliciosa de ocho empresas diferentes con sede en Italia, España y los Emiratos Árabes Unidos (EAU) que operan en la industria de la vigilancia por encargo.

Los hallazgos forman parte de su Informe de Amenazas Adversarial para el cuarto trimestre de 2023. El spyware se dirigía a dispositivos iOS, Android y Windows.

"Sus diversos programas maliciosos incluían capacidades para recopilar y acceder a información del dispositivo, ubicación, fotos y medios, contactos, calendario, correo electrónico, SMS, redes sociales y aplicaciones de mensajería, y habilitar la funcionalidad de micrófono, cámara y captura de pantalla", dijo la compañía.

Las ocho empresas son Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group y Mollitiam Industries.

Estas empresas, según Meta, también se dedicaron al scraping, la ingeniería social y la actividad de phishing que se dirigieron a una amplia gama de plataformas como Facebook, Instagram, X (antes Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch y Telegram.

Específicamente, se dice que una red de personas ficticias vinculadas a RCS Labs, que es propiedad de Cy4Gate, engañó a los usuarios para que proporcionaran sus números de teléfono y direcciones de correo electrónico, además de hacer clic en enlaces falsos para realizar reconocimientos.

Otro conjunto de cuentas de Facebook e Instagram, ahora eliminadas, asociadas con el proveedor español de software espía Variston IT se empleó para el desarrollo y las pruebas de exploits, incluido el intercambio de enlaces maliciosos. La semana pasada, surgieron informes de que la compañía está cerrando sus operaciones.

Meta también dijo que identificó cuentas utilizadas por Negg Group para probar la entrega de su software espía, así como por Mollitiam Industries, una empresa española que anuncia un servicio de recopilación de datos y software espía dirigido a Windows, macOS y Android, para extraer información pública.

Por otra parte, el gigante de las redes sociales actuó en las redes de China, Myanmar y Ucrania que exhiben un comportamiento inauténtico coordinado (CIB) al eliminar más de 2.000 cuentas, páginas y grupos de Facebook e Instagram.

Mientras que el grupo chino se dirigía a audiencias estadounidenses con contenido relacionado con críticas a la política exterior de Estados Unidos hacia Taiwán e Israel y su apoyo a Ucrania, la red originaria de Myanmar se dirigía a sus propios residentes con artículos originales que elogiaban al ejército birmano y menospreciaban a las organizaciones étnicas armadas y a los grupos minoritarios.

El tercer grupo es notable por su uso de páginas y grupos falsos para publicar contenido que apoyaba al político ucraniano Viktor Razvadovskyi, al tiempo que compartía "comentarios de apoyo sobre el gobierno actual y comentarios críticos sobre la oposición" en Kazajistán.

El desarrollo se produce cuando una coalición de empresas gubernamentales y tecnológicas, incluida Meta, ha firmado un acuerdo para frenar el abuso de software espía comercial para cometer abusos contra los derechos humanos.

Como contramedidas, la compañía ha introducido nuevas funciones como la habilitación de Control Flow Integrity (CFI) en Messenger para Android y el aislamiento de memoria VoIP para WhatsApp en un esfuerzo por dificultar la explotación y reducir la superficie de ataque general.

Dicho esto, la industria de la vigilancia sigue prosperando en innumerables formas inesperadas. El mes pasado, 404 Media, basándose en una investigación previa del Consejo Irlandés para las Libertades Civiles (ICCL) en noviembre de 2023, desenmascaró una herramienta de vigilancia llamada Patternz que aprovecha los datos publicitarios de ofertas en tiempo real (RTB) recopilados de aplicaciones populares como 9gag, Truecaller y Kik para rastrear dispositivos móviles.

"Patternz permite a las agencias de seguridad nacional utilizar datos generados por publicidad de usuarios en tiempo real e históricos para detectar, monitorear y predecir las acciones de los usuarios, las amenazas de seguridad y las anomalías en función del comportamiento de los usuarios, los patrones de ubicación y las características de uso móvil", afirmó ISA, la compañía israelí detrás del producto, en su sitio web.

Luego, la semana pasada, Enea reveló un ataque a la red móvil previamente desconocido conocido como MMS Fingerprint que supuestamente fue utilizado por el fabricante de Pegasus, NSO Group. Esta información se incluyó en un contrato de 2015 entre la empresa y el regulador de telecomunicaciones de Ghana.

Si bien el método exacto utilizado sigue siendo un misterio, la firma sueca de seguridad de telecomunicaciones sospecha que probablemente implique el uso de MM1_notification. REQ, un tipo especial de mensaje SMS denominado SMS binario que notifica al dispositivo destinatario de un MMS que está esperando ser recuperado del Centro de servicios de mensajería multimedia (MMSC).

A continuación, el MMS se obtiene por medio de MM1_retrieve. REQ y MM1_retrieve. RES, siendo la primera una solicitud HTTP GET a la dirección URL contenida en el MM1_notification. REQ.

Lo notable de este enfoque es que la información del dispositivo del usuario, como User-Agent (diferente de una cadena User-Agent del navegador web) y x-wap-profile, está incrustada en la solicitud GET, lo que actúa como una especie de huella digital.

"El User-Agent (MMS) es una cadena que normalmente identifica el sistema operativo y el dispositivo", dijo Enea. "x-wap-profile apunta a un archivo UAProf (User Agent Profile) que describe las capacidades de un teléfono móvil".

Un actor de amenazas que busque implementar spyware podría usar esta información para explotar vulnerabilidades específicas, adaptar sus cargas maliciosas al dispositivo de destino o incluso crear campañas de phishing más efectivas. Dicho esto, no hay evidencia de que este agujero de seguridad haya sido explotado en la naturaleza en los últimos meses.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta