Se ha observado una nueva ola de una campaña de vigilancia móvil dirigida a la comunidad uigur como parte de una operación de software espía de larga data activa desde al menos 2015, revelaron el jueves investigadores de seguridad cibernética.
Las intrusiones, originalmente atribuidas a un actor de amenazas llamado imitador escarlata en enero de 2016, se dice que incluía 20 variantes diferentes del malware de Android, que estaban disfrazadas de libros, imágenes y una versión de audio del Corán.
El malware, aunque relativamente poco sofisticado desde un punto de vista técnico, viene con amplias capacidades para robar datos confidenciales de un dispositivo infectado, enviar mensajes SMS en nombre de la víctima, hacer llamadas telefónicas y rastrear sus ubicaciones.
Además, permite la grabación de llamadas telefónicas entrantes y salientes, así como el audio circundante.
«Todo esto lo convierte en una herramienta de vigilancia poderosa y peligrosa», la firma de ciberseguridad israelí Check Point dijo en una inmersión técnica profunda, llamando al spyware Orden móvil.
Vale la pena señalar que una parte de la campaña fue revelada recientemente por investigadores de MalwareHunterTeam y Cyble, en la que se usó un libro escrito por el líder uigur exiliado Dolkun Isa como señuelo para entregar el malware.
Check Point dijo que observó artefactos de MobileOrder en estado salvaje desde 2015 hasta mediados de agosto de 2022, con la excepción de 2021, cuando no se detectó ninguno.
Es probable que las campañas de ataque impliquen el uso de tácticas de ingeniería social para engañar a las víctimas desprevenidas para que inicien aplicaciones maliciosas que hacen referencia a documentos, fotos y archivos de audio aparentemente inocuos.
Estas aplicaciones contienen una variedad de cebos, incluido un PDF sobre la guerra de guerrillas e imágenes relacionadas con la despliegue de fuerzas paramilitares en Ürümqi, la capital de la Región Autónoma Uigur de Xinjiang, después de la ataque mortal de abril de 2014.
Al abrir la aplicación no autorizada, a su vez, se inicia un documento señuelo diseñado para distraer al objetivo de que se dé cuenta de las acciones maliciosas en segundo plano.
«Algunas de las versiones también solicitan el administrador del dispositivo y el acceso de raíz, lo que no solo le da al malware acceso completo al dispositivo, sino que también evita que la víctima desinstale fácilmente la aplicación», dijeron los investigadores.
Otras funciones compatibles con MobileOrder incluyen la ejecución de un shell remoto e incluso la eliminación de archivos adicionales del paquete de Android (APK).
La atribución de la campaña a Scarlet Mimic, según Check Point, se deriva de claras superposiciones de códigos, infraestructura compartida y los mismos patrones de victimología.
Además, el uso continuo de MobileOrder indica un cambio en el vector de ataque de la vigilancia de escritorio a la móvil, con el actor previamente vinculado a un malware de Windows llamado Psylo Trojan.
Si bien no está claro cuáles de estos ataques durante los últimos siete años han tenido éxito, el mero hecho de que los autores de malware continúen implementando spyware es una indicación de que algunos de estos esfuerzos han valido la pena.
«La persistencia de la campaña, la evolución del malware y el enfoque persistente en apuntar a poblaciones específicas indican que las operaciones del grupo a lo largo de los años tienen éxito hasta cierto punto», dijo Check Point.