Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

spyware

Espías en la red.

La semana pasada te hablaba de este spyware, presente hasta entonces en entornos iOS, y que había mutado hacia entornos Android. Hoy toca, de la mano de Lookout (EN), entender a qué nos enfrentamos.

Infecta tanto terminales iOS sin jailbreak como Android, y es uno de los más sofisticados del momento, claramente proveniente de algún grupo de élite, presuntamente mercenarios israelíes.

En el caso de iOS, Pegasus se aprovechaba de 3 vulnerabilidades 0 Day para jailbreakear el teléfono e instalar el software de vigilancia. ¡Tres! Considerando a cuánto anda un 0 day en el mercado (uno de los últimos vendidos ascendió a un millón de dólares), podemos hacernos una idea de lo que se tienen entre mano.

En Android se ayuda de un bug conocido por el nombre de Framaroot que permite rootear el dispositivo. Como curiosidad, en iOS si falla el jailbreak el spyware no funciona. En Android, si falla este rooteo forzado, lo intentará de nuevo mediante ingeniería social (pidiéndole al usuario que acepte los permisos necesarios para operar).

Su funcionamiento, una vez instalado, es modular, y compete a prácticamente a toda la totalidad de funcionalidades de espionaje que podríamos desear: leer mensajes y correos, escuchar y almacenar llamadas, hacer capturas de pantalla, almacenar credenciales y texto escrito en el teclado, historiales de navegación, contactos…

Por supuesto, estos registros los saca en tiempo de ejecución, antes de que el sistema o la aplicación emisora los cifre, o justo después de que el sistema o la aplicación receptora los descifre, por lo que bypasea realmente cualquier cifrado de punto a punto que haya habilitado (WhatsApp, iMessage…).

Además intenta no dejar rastro (ya sabes que la idea no es infectar masivamente, sino atacar objetivos específicamente seleccionados de antemano, como pueden ser directivos, activisas, periodistas, políticos…). Si el sistema se da cuenta que no ha podido ponerse en contacto con el centro del control en 60 días, o el teléfono tiene una SIM distinta (no la de la víctima), el malware se autodestruye.

En la versión de iOS 9.3.5 esos tres 0 days están ya corregidos. En Android, pasa lo mismo, pero ya sabemos que resulta bastante más complicado estar 100% actualizado. En todo caso, vuelvo a señalar que estamos ante una pieza de malware diseñada para atacar objetivos específicos, no algo masivo. Google ha encontrado 12 víctimas entre todos sus usuarios. Parece poquísimo, pero realmente es mucho considerando que Pegasus está destinado a ataques dirigidos.

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros