Así funciona el "Pegasus italiano", un troyano creado para gobiernos y que puede infectar cualquier móvil

Hace unos meses que el spyware Pegasus volvió a ser noticia tras infectar el móvil de personas de las altas esferas, incluyendo a la Ministra de Defensa y Presidente del Gobierno. Ahora se ha sabido de otro software espía diseñado por una empresa italiana y del que alerta incluso Google.

Se trata de un malware que, pese a que tenga tendencia a aparecer más en Android, puede infectar tanto móviles Android como iPhone. Se dice que ha sido una herramienta creada para gobiernos y agencias de seguridad, aunque de momento parece que su actuación se ha limitado a crear una puerta trasera de acceso al terminal.

Camuflado en una app oficial y dejando abierta la puerta trasera del móvil

Según denuncia Google, se ha encontrado un software malicioso creado por RCS Labs, una empresa de seguridad italiana cuya especialización es, según dicen ellos mismos en su web, "obtener información que puede no ser posible mediante el uso de herramientas más "tradicionales"". Y no, no nos hemos equivocado en entrecomillar "tradicionales". Así de abrupta y sorprendente resulta la descripción.

La herramienta, en consenso con las operadoras, es capaz incluso de cortar la conexión a Internet para que esto sirva de gancho en la descarga del malware.
Captura de pantalla de una de las formas de presentación del malware

El minucioso modus operandi de este malware, según relata Google, consiste en hacerse pasar por una app oficial como una app de mensajería común como puede ser WhatsApp o una app de operadoras móviles como Mi Vodafone. Su método de actuación vendría con la complicidad de las operadoras, lo que resulta todavía más alarmante.

La herramienta de RCS Labs tendría la capacidad incluso de cortar la conexión a Internet del móvil para, acto seguido, enviar un SMS al dispositivo haciendose pasar por la operadora. En este mensaje se informaría a la víctima de que ha habido algún problema técnico y que deberá descargar una app de la compañía para poder restablecer la conexión a Internet. Acompañando a este mensaje, como suele ser habitual en estos casos, un enlace en el que descargar la app, presuntamente original, pero con el malware escondido dentro al más puro estilo troyano.

¿Y a qué tiene acceso el malware? Pues básicamente a todo. Y es que podría tomar el control del teléfono, dejando todos nuestros datos en manos de las agencias de seguridad y/o gobiernos que contraten los servicios de RCS Labs. Y es que, tal y como funciona, este malware simplemente deja la puerta abierta para que, cuando así requieran, puedan descargar todos los exploits necesarios y ejecutarlos.

Incluso en iPhone puede colarse sin que salten las alarmas de Apple por cargar código externo a la App Store.
Extracto del código de la app en iOS

Y respecto al funcionamiento en iPhone, decir que los atacantes pueden también tomar el control siguiendo una vía similar, teniendo de cerca las instrucciones de la propia Apple para distribuir apps internas a los dispositivos de la marca. Para ello usaron un procolo itms-service con un archivo como el que ves en la anterior imagen y usando un identificador com.iOS.Carrier.

Al cumplirse todos los requisitos de certificación de firma de código de iOS y estar inscrita en el programa de desarrolladores de Apple, la compañía no encuentra ningún problema. De hecho se ejecutan en zona protegida de iOS sin que salten alarmas de privacidad al cargar de forma lateral código sin necesidad de que esté en la App Store.

Siguiendo con el informe de Google, esta herramienta ha sido ya utilizada para atacar a usuarios italianos y kazajos, aunque es más que probable que pueda venderse a agencias de todo el mundo. Por tanto, no estaríamos a salvo en ningún territorio, salvo que Apple y Google implementen las medidas pertinentes para detectar y bloquear este tipo de incursiones en Android y iOS respectivamente.

Más información | Google

Ver todos los comentarios en https://www.xatakamovil.com

VER 1 Comentario

Portada de Xataka Móvil