Según un nuevo informe, otro fabricante de software espía del gobierno fue arrestado después de que sus clientes usaran aplicaciones falsas de Android para instalar su software de vigilancia en objetivos.
El jueves, Osservatorio Nessuno, una organización italiana de derechos digitales que investiga el software espía, publicar un informe sobre una nueva pieza de malware llamada Morpheus. El software espía, disfrazado de aplicación de actualización del teléfono, es capaz de robar varios tipos de datos del dispositivo objetivo.
Los hallazgos de los investigadores muestran que la demanda de software espía por parte de las agencias policiales y de inteligencia es tan alta que hay muchas empresas que ofrecen esta tecnología, algunas de las cuales operan fuera del ojo público.
En este caso, Osservatorio Nessuno concluyó que el software espía fue creado por IPS, una empresa italiana que opera desde hace más de 30 años proporcionando la llamada tecnología de interceptación legal, que es una herramienta utilizada por los gobiernos para capturar las comunicaciones en tiempo real de una persona que fluyen a través de las redes telefónicas y de proveedores de Internet.
Según el sitio web del IPSLa empresa opera en más de 20 países, aunque probablemente esto no se refiera a sus productos de software espía, que actualmente se mantienen en secreto. La empresa cuenta entre sus clientes con varias fuerzas policiales italianas.
IPS no respondió a la solicitud de TechCrunch de comentar sobre el informe.
Los investigadores llaman a Morpheus software espía de “bajo costo” porque se basa en mecanismos de infección rudimentarios para engañar a los objetivos para que instalen el software espía ellos mismos.
Los fabricantes de software espía gubernamentales más avanzados, como NSO Group y Paragon Solutions, permiten a sus clientes gubernamentales infectar sus objetivos con técnicas invisibles, conocidas como ataques de cero clic, que instalan malware de una manera completamente oculta e invisible mediante la explotación de vulnerabilidades costosas y difíciles de encontrar que eluden las defensas de seguridad de un dispositivo.
En este caso, los investigadores dicen que las autoridades obtuvieron ayuda del proveedor de telefonía celular del objetivo, que comenzó a bloquear intencionalmente los datos móviles del objetivo. En ese momento, el proveedor de telecomunicaciones envía un SMS al objetivo, pidiéndole que instale una aplicación que debería ayudarle a actualizar su teléfono y recuperar el acceso a los datos móviles. Esta es una estrategia que ha sido bien documentada en otros casos que involucran a otros fabricantes italianos de software espía.
Una vez instalado, el software espía abusa de las funciones de accesibilidad integradas de Android, lo que le permite leer datos en la pantalla de la víctima e interactuar con otras aplicaciones. Según los investigadores, el malware está diseñado para acceder a todo tipo de información en el dispositivo.
Luego, el software espía solicita actualizaciones falsas, muestra al objetivo una pantalla de reinicio y finalmente falsifica la aplicación WhatsApp pidiéndole al objetivo que proporcione sus datos biométricos para demostrar que es él. Sin que el objetivo lo sepa, el toque biométrico le da al software espía acceso completo a su cuenta de WhatsApp al agregar el dispositivo a la cuenta. Se sabe que esta es una estrategia utilizada por piratas informáticos del gobierno de Ucrania, así como en recientes campañas de espionaje en Italia.
Antigua empresa con nuevo software espía
Los investigadores del Osservatorio Nessuno, que pidieron ser identificados sólo por sus nombres, Davide y Giulio, concluyeron que el software espía pertenecía al IPS basándose en la infraestructura del software espía.
En concreto, una de las direcciones IP utilizadas en la campaña fue registrada en “IPS Intelligence Public Security”.
Los dos también encontraron varios fragmentos de código que contenían frases en italiano, algo que parece haber sucedido. tradición entre la industria italiana de software espía. El código de malware incluía palabras en italiano, incluidas referencias a Gomorra, el famoso libro y programa de televisión sobre la mafia napolitana, y “spaghetti”.
Davide y Giulio dijeron a TechCrunch que no podían proporcionar detalles sobre quiénes eran los objetivos, pero creen que el ataque estaba “vinculado al activismo político” en Italia, un mundo donde “este tipo de ataque dirigido es muy común hoy en día”.
Un investigador de una empresa de ciberseguridad le dijo a TechCrunch que su empresa ha estado rastreando este malware en particular. Después de revisar el informe del Osservatorio Nessuno, los investigadores dijeron que el malware definitivamente fue desarrollado por un fabricante italiano de tecnología de vigilancia.
IPS es el último de una larga lista de fabricantes italianos de software espía que han llenado el vacío dejado por la desaparecida empresa italiana Hacking Team, uno de los primeros fabricantes de software espía del mundo. La empresa controlaba la mayor parte del mercado local, además de vender en el extranjero antes de ser pirateada y luego vendida y renombrada. En los últimos años, los investigadores han expuesto públicamente a varios creadores italianos de software espía, entre ellos CY4GATE, Sistema GR, Película, Negativo, Desembalaje, laboratorio RCSy más recientemente SIO.
A principios de este mes, WhatsApp notificó a unos 200 usuarios que instalaron una versión falsa de la aplicación, que en realidad era software espía creado por SIO. En 2021, los fiscales italianos suspender su uso Software espía CY4GATE y SIO debido a graves fallos de funcionamiento.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
