Fotografía de Stock de calavera y tibias cruzadas en la pantalla de un teléfono inteligente.

Facebook dijo que interrumpió un proceso de piratería que utilizaba la plataforma de redes sociales para difundir malware de iOS y Android que estaba espiando a los uigures de la región china de Xinjiang.

El malware para ambos sistemas operativos móviles tenía funciones avanzadas que podían robar casi cualquier cosa almacenada en un dispositivo infectado. Los piratas informáticos, que vincularon a los investigadores con grupos que trabajaban en nombre del gobierno chino, colocaron el malware en sitios web frecuentados por activistas, periodistas y disidentes originarios de Xinjiang que luego se mudaron al extranjero.

«Esta actividad tenía las características de una operación en curso y con buenos recursos que ocultaba quién estaba detrás de ella», escribieron Mike Dvilyanski, director de investigaciones de ciberespionaje de Facebook, y Nathaniel Gleicher, director de seguridad de la compañía, en una publicación el miércoles. «En nuestra plataforma, esta campaña de ciberespionaje se manifestó principalmente en el envío de enlaces a sitios web maliciosos en lugar de distribuir directamente el malware en sí».

Infección de iPhones durante años

Los piratas informáticos han sembrado sitios web con JavaScript malicioso que podrían infectar sigilosamente los iPhones del objetivo con un malware con todas las funciones creado por Google y la firma de seguridad Volexity en agosto de 2019 y en abril pasado. Los piratas informáticos aprovecharon una variedad de vulnerabilidades de iOS para instalar el malware que Volexity llamó Insomnia. Los investigadores se refieren al grupo de piratas informáticos como Earth Empusa, Evil Eye o PoisonCarp.

Google dijo que en el momento en que se usaron algunos de los exploits eran de día cero, lo que significa que eran muy valiosos ya que eran desconocidos para Apple y la mayoría de las otras organizaciones en todo el mundo. Estos exploits funcionaron contra iPhones con versiones de iOS 10.x, 11.x, así como 12.0 y 12.1. Más tarde, Volexity encontró exploits que funcionaban contra las versiones 12.3, 12.3.1 y 12.3.2. En conjunto, los exploits dieron a los piratas informáticos la capacidad de infectar dispositivos durante más de dos años. La publicación de Facebook muestra que los piratas informáticos permanecieron activos incluso después de la divulgación por parte de los investigadores.

Insomnia tenía la capacidad de filtrar datos de una amplia variedad de aplicaciones de iOS, incluidos Contactos, GPS e iMessage, así como ofertas de terceros de Signal, WhatsApp, Telegram, Gmail y Hangouts. Para ocultar la piratería y evitar que se descubra el insomnio, los exploits solo se entregaron a personas que pasaron ciertas pruebas, incluidas direcciones IP, OSesd, navegador y configuración de país e idioma. Volexity proporcionó el siguiente diagrama para ilustrar la cadena de exploits que infectaron iPhones con éxito.

Volexidad

Una extensa red

Evil Eye usó aplicaciones falsas para infectar teléfonos Android. Algunos sitios web imitaron las tiendas de aplicaciones de Android de terceros que lanzaron software con temática uigur. Una vez instaladas, las aplicaciones troyanizadas infectaron los dispositivos con una de las dos cepas de malware, una conocida como ActionSpy y la otra conocida como PluginPhantom.

Facebook también nombró a dos empresas con sede en China que supuestamente desarrollaron algunos de los programas maliciosos de Android. «Es probable que estas empresas con sede en China formen parte de una extensa red de proveedores con diversos grados de seguridad operativa», escriben Dvilyanski et al de Facebook.

Los funcionarios del gobierno chino han negado rotundamente la realización de campañas de piratería, según informan Facebook, Volexity, Google y otras organizaciones.

A menos que tenga alguna conexión con los disidentes uigures, es poco probable que haya sido atacado por las operaciones identificadas por Facebook y las otras organizaciones. Para las personas que buscan buscar señales de que sus dispositivos hayan sido pirateados, la publicación del miércoles tiene indicadores de compromiso.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí