Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.
Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.
*******
Espías en la red.
La semana pasada te hablaba de este spyware, presente hasta entonces en entornos iOS, y que había mutado hacia entornos Android. Hoy toca, de la mano de Lookout (EN), entender a qué nos enfrentamos.
Infecta tanto terminales iOS sin jailbreak como Android, y es uno de los más sofisticados del momento, claramente proveniente de algún grupo de élite, presuntamente mercenarios israelíes.
En el caso de iOS, Pegasus se aprovechaba de 3 vulnerabilidades 0 Day para jailbreakear el teléfono e instalar el software de vigilancia. ¡Tres! Considerando a cuánto anda un 0 day en el mercado (uno de los últimos vendidos ascendió a un millón de dólares), podemos hacernos una idea de lo que se tienen entre mano.
En Android se ayuda de un bug conocido por el nombre de Framaroot que permite rootear el dispositivo. Como curiosidad, en iOS si falla el jailbreak el spyware no funciona. En Android, si falla este rooteo forzado, lo intentará de nuevo mediante ingeniería social (pidiéndole al usuario que acepte los permisos necesarios para operar).
Su funcionamiento, una vez instalado, es modular, y compete a prácticamente a toda la totalidad de funcionalidades de espionaje que podríamos desear: leer mensajes y correos, escuchar y almacenar llamadas, hacer capturas de pantalla, almacenar credenciales y texto escrito en el teclado, historiales de navegación, contactos…
Por supuesto, estos registros los saca en tiempo de ejecución, antes de que el sistema o la aplicación emisora los cifre, o justo después de que el sistema o la aplicación receptora los descifre, por lo que bypasea realmente cualquier cifrado de punto a punto que haya habilitado (WhatsApp, iMessage…).
Además intenta no dejar rastro (ya sabes que la idea no es infectar masivamente, sino atacar objetivos específicamente seleccionados de antemano, como pueden ser directivos, activisas, periodistas, políticos…). Si el sistema se da cuenta que no ha podido ponerse en contacto con el centro del control en 60 días, o el teléfono tiene una SIM distinta (no la de la víctima), el malware se autodestruye.
En la versión de iOS 9.3.5 esos tres 0 days están ya corregidos. En Android, pasa lo mismo, pero ya sabemos que resulta bastante más complicado estar 100% actualizado. En todo caso, vuelvo a señalar que estamos ante una pieza de malware diseñada para atacar objetivos específicos, no algo masivo. Google ha encontrado 12 víctimas entre todos sus usuarios. Parece poquísimo, pero realmente es mucho considerando que Pegasus está destinado a ataques dirigidos.
________
Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.
Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.