Hackers vinculados al gobierno sirio atacan a los civiles con programas espías a través de aplicaciones móviles

Los investigadores han descubierto una campaña de spyware relacionada con COVID-19 que se dirige específicamente a los sirios y «probablemente a otras personas de habla árabe» en la región de Oriente Medio. Los investigadores de amenazas de Lookout, especialistas en seguridad móvil, descubrieron que durante el

mes pasado, los piratas informáticos, supuestamente vinculados al régimen sirio del presidente Bashar Al-Assad, han utilizado al menos 71 nuevas aplicaciones maliciosas en dispositivos móviles Android mediante el engaño a los usuarios con el pandemia de coronavirus. Se cree que la amenaza del spyware recupera información crítica sobre los movimientos de los civiles, sus ubicaciones, mensajes, imágenes, vídeos, audios y contactos.

La investigación completa puede encontrarse aquí: https://blog.lookout.com/nation-state-mobile-malware-targets-syrians-with-covid-19-lures

Kristen Del Rosso, ingeniera senior de inteligencia de seguridad de Lookout dijo con respecto a la atribución a la campaña:

Creemos que hay una alta probabilidad de que esta campaña pueda atribuirse al Ejército Electrónico Sirio. Se trata de un conocido grupo pro-Assad y el gobierno sirio ejerce un estricto control sobre la infraestructura de Internet y cuenta con un amplio historial de censura digital. Las aplicaciones maliciosas de las que se informa en este blog contenían rastros involuntarios de un personaje («Allosh») previamente asociado a este grupo en la campaña «SilverHawk». ContinúaAdemás, la infraestructura de esta campaña se encuentra en un bloque de direcciones del proveedor de servicios de Internet Tarassul, un proveedor de servicios de Internet que es propiedad de la empresa estatal de telecomunicaciones siria (STE) y que comparte su infraestructura de red con ella. El malware para Android asociado anteriormente a este grupo, SilverHawk, también estaba localizado en direcciones IP pertenecientes al STE.

Ninguna de estas aplicaciones corruptas estaba disponible en la tienda oficial Google Play Store, lo que sugiere que probablemente se distribuyeron a través de abrevaderos operados por actores o tiendas de aplicaciones de terceros.

De las aplicaciones maliciosas de esta campaña, 64 de 71 son muestras de SpyNote, una conocida familia de software de vigilancia comercial. El resto pertenecen a las familias SandroRat, AndoServer y SLRat, de las cuales las dos últimas aún no han sido reportadas públicamente.

Lookout informó anteriormente de otra campaña de software de vigilancia que utilizaba señuelos relacionados con COVID-19 y que tenía como objetivo Libia.

Malware sirio
Figura 1: Un ejemplo del programa espía en acción

La aplicación recién instalada (com.finger.body.temperature.ap) es una broma benigna: un falso termómetro digital que sirve de señuelo. Mientras tanto, el malware sigue operando en segundo plano.