Un periodista serbio vio su teléfono desbloqueado por primera vez con una herramienta Cellebrite y posteriormente comprometido por un software espía previamente indocumentado cuyo nombre en código NoviSpysegún un nuevo informe publicado por Amnistía Internacional.
“NoviSpy permite capturar datos personales confidenciales desde el teléfono de un objetivo después de la infección y brinda la posibilidad de encender el micrófono o la cámara del teléfono de forma remota”, dijo la compañía. dicho en un informe técnico de 87 páginas.
Un análisis de pruebas forenses apunta a que la instalación de software espía se produjo cuando el teléfono del periodista independiente Slaviša Milanov estaba en manos de la policía serbia durante su detención a principios de 2024.
Algunos de los otros objetivos incluían al activista juvenil Nikola Ristić, al activista medioambiental Ivan Milosavljević Buki y a un activista anónimo de Krokodil, una organización con sede en Belgrado que promueve el diálogo y la reconciliación en los Balcanes Occidentales.
El desarrollo marca uno de los primeros casos conocidos en los que se utilizaron dos tecnologías dispares altamente invasivas en combinación para facilitar el espionaje y la exfiltración de datos confidenciales.
NoviSpy, en particular, está diseñado para recopilar diversos tipos de información de teléfonos comprometidos, incluidas capturas de pantalla de todas las acciones en el teléfono, ubicaciones de los objetivos, grabaciones de audio y micrófono, archivos y fotografías. Se instala mediante el puente de depuración de Android (adb) utilidad de línea de comandos y se manifiesta en forma de dos aplicaciones:
- NoviSpyAdmin (com.serv.services), que solicita amplios permisos para recopilar registros de llamadas, mensajes SMS, listas de contactos y grabar audio a través del micrófono.
- NoviSpyAcceso (com.accesibilityservice), que abusa de los servicios de accesibilidad de Android para recopilar sigilosamente capturas de pantalla de cuentas de correo electrónico y aplicaciones de mensajería como Signal y WhatsApp, filtrar archivos, rastrear ubicación y activar la cámara.
Actualmente se desconoce exactamente quién desarrolló NoviSpy, aunque Amnistía dijo 404 Media que podría haber sido construido internamente por las autoridades serbias o adquirido a un tercero. Se dice que el desarrollo del software espía ha estado en curso desde al menos 2018.
“Juntas, estas herramientas proporcionan al Estado una enorme capacidad para recopilar datos tanto de forma encubierta, como en el caso del software espía, como abiertamente, mediante el uso ilegal e ilegítimo de la tecnología de extracción de teléfonos móviles Cellebrite”, señaló Amnistía Internacional.
En respuesta a los hallazgos, la compañía israelí Cellebrite dijo que está investigando las denuncias de uso indebido de sus herramientas y que tomaría las medidas apropiadas, incluida la terminación de su relación con las agencias pertinentes, si se determina que violan su acuerdo de usuario final.
Al mismo tiempo, la investigación también descubrió un exploit de escalada de privilegios de día cero utilizado por el dispositivo de extracción forense universal de Cellebrite (UFED) – un software/sistema que permite a las agencias policiales desbloquear y obtener acceso a los datos almacenados en teléfonos móviles, para obtener acceso elevado al dispositivo de un activista serbio.
La vulnerabilidad, rastreada como CVE-2024-43047 (puntuación CVSS: 7,8), es un error que el usuario libera en el servicio de procesador de señal digital (DSP) de Qualcomm (adsprpc) que podría provocar “corrupción de la memoria mientras se mantienen los mapas de memoria de HLOS”. memoria.” El fabricante de chips lo parchó en octubre de 2024.
Google, que inició un “proceso de revisión de código más amplio” luego de recibir registros de pánico del kernel generados por el exploit in-the-wild (ITW) a principios de este año, dijo que descubrió un total de seis vulnerabilidades en el controlador adsprpc, incluido CVE- 2024-43047.
“Los controladores de chipset para Android son un objetivo prometedor para los atacantes, y este exploit de ITW representa un ejemplo significativo del mundo real de las ramificaciones negativas que la actual postura de seguridad de los controladores de terceros plantea a los usuarios finales”, dijo Seth Jenkins de Google Project Zero. dicho.
“La ciberseguridad de un sistema es tan fuerte como su eslabón más débil, y los controladores del chipset/GPU representan uno de los eslabones más débiles para la separación de privilegios en Android en 2024”.
El desarrollo se produce como parte del brazo europeo del Centro para la Democracia y la Tecnología (CDT), junto con otras organizaciones de la sociedad civil como Access Now y Amnistía Internacional. envió una carta a la Presidencia polaca del Consejo de la Unión Europea, pidiendo que se dé prioridad a las medidas contra el abuso de las herramientas de vigilancia comercial.
También sigue a un informe reciente de Lookout sobre cómo las autoridades encargadas de hacer cumplir la ley en China continental están utilizando una herramienta de interceptación legal con nombre en código EagleMsgSpy para recopilar una amplia gama de información de dispositivos móviles después de haber obtenido acceso físico a ellos.
A principios de este mes, Citizen Lab reveló además que el gobierno ruso detuvo a un hombre por donar dinero a Ucrania e implantó software espía, una versión troyanizada de una aplicación de grabación de llamadas, en su teléfono Android antes de liberarlo.