A un programador ruso acusado de donar dinero a Ucrania el Servicio Federal de Seguridad (FSB) le implantó en secreto un software espía en su dispositivo Android después de ser detenido a principios de este año.
Los hallazgos surgen como parte de una investigación colaborativa realizada por Primer Departamento y la Universidad de Toronto Laboratorio ciudadano.
“El software espía colocado en su dispositivo permite al operador rastrear la ubicación del dispositivo objetivo, grabar llamadas telefónicas, pulsaciones de teclas y leer mensajes de aplicaciones de mensajería cifradas, entre otras capacidades”, según el informe.
En mayo de 2024, Kirill Parubets fue liberado de la custodia después de un período de 15 días en detención administrativa por parte de las autoridades rusas, tiempo durante el cual le confiscaron su teléfono, un teléfono Oukitel WP7 con Android 10.
Durante este período, no sólo lo golpearon para obligarlo a revelar la contraseña de su dispositivo, sino que también lo sometieron a un “intenso esfuerzo” para reclutarlo como informante para el FSB, o correr el riesgo de enfrentar cadena perpetua.
Después de aceptar trabajar para la agencia, aunque sólo fuera para ganar algo de tiempo y escaparse, el FSB devolvió su dispositivo a su sede en Lubyanka. Es en esta etapa que Parubets comenzó a notar que el teléfono mostraba un comportamiento inusual, incluida una notificación que decía “Sincronización Arm Cortex vx3”.
Un examen más detenido del dispositivo Android reveló que, efectivamente, había sido manipulado con una versión troyanizada del original. Grabador de llamadas de cubo solicitud. Vale la pena señalar que la aplicación legítima tiene el nombre de paquete “com.catalinagroup.callrecorder”, mientras que la contraparte rebelde El nombre del paquete es “com.cortex.arm.vx3”.
La aplicación falsificada está diseñada para solicitar permisos intrusivos que le permiten recopilar una amplia gama de datos, incluidos mensajes SMS, calendarios, instalar paquetes adicionales y contestar llamadas telefónicas. También puede acceder a ubicaciones precisas, grabar llamadas telefónicas y leer listas de contactos, todas funciones que forman parte de la aplicación legítima.
“La mayor parte de la funcionalidad maliciosa de la aplicación está oculta en una segunda etapa cifrada del software espía”, dijo Citizen Lab. “Una vez que el software espía se carga en el teléfono y se ejecuta, la segunda etapa se descifra y se carga en la memoria”.
La segunda etapa incorpora funciones para registrar pulsaciones de teclas, extraer archivos y contraseñas almacenadas, leer chats de otras aplicaciones de mensajería, inyectar JavaScript, ejecutar comandos de shell, obtener la contraseña de desbloqueo del dispositivo e incluso agregar un nuevo administrador del dispositivo.
El software espía también muestra cierto nivel de superposición con otro software espía de Android llamado Monokle que fue documentado por Lookout en 2019, lo que plantea la posibilidad de que sea una versión actualizada o que se haya creado reutilizando el código base de Monokle. Específicamente, se ha descubierto que algunas de las instrucciones de comando y control (C2) entre las dos cepas son idénticas.
Citizen Lab dijo que también detectó referencias a iOS en el código fuente, lo que sugiere que podría haber una versión iOS del software espía.
“Este caso ilustra que la pérdida de la custodia física de un dispositivo a manos de un servicio de seguridad hostil como el FSB puede ser un grave riesgo de compromiso que se extenderá más allá del período en el que los servicios de seguridad tienen la custodia del dispositivo”, dijo.
La divulgación se produce cuando iVerify dijo que descubrió siete nuevas infecciones de software espía Pegasus en dispositivos iOS y Android pertenecientes a periodistas, funcionarios gubernamentales y ejecutivos corporativos. La empresa de seguridad móvil está rastreando al desarrollador de software espía, NSO Group, como Rainbow Ronin.
“Un exploit de finales de 2023 en iOS 16.6, otra posible infección de Pegasus en noviembre de 2022 en iOS 15 y cinco infecciones más antiguas que datan de 2021 y 2022 en iOS 14 y 15”, afirma el investigador de seguridad Matthias Frielingsdorf. dicho. “Cada uno de ellos representaba un dispositivo que podría haber sido monitoreado silenciosamente y sus datos comprometidos sin el conocimiento del propietario”.
About the Author
