Cuando leemos casos de periodistas, activistas o cargos públicos que han resultado estar vigilados usando software espía como Pegasus, puede surgirnos la duda de "¿y si mi móvil también…?". Verificarlo ya no es terreno exclusivo de laboratorios: existe una herramienta forense abierta, difundida por el 'Security Lab' de la ONG Amnistía Internacional, que cualquiera puede ejecutar en casa: Mobile Verification Toolkit (MVT).

Su objetivo no es cazar "virus" al uso, sino rastros muy concretos de software espía avanzado en tu teléfono.

1) Malware común vs. spyware avanzado: por qué MVT es distinto

Android sufre amenazas de todo tipo (virus, troyanos, phishing…), pero MVT no es un antivirus. No busca adware ni troyanos bancarios: su cometido es localizar Indicadores de Compromiso (IoC), esas "huellas" específicas que dejan los spyware más sofisticados. Si te preocupa Pegasus y similares, esto es lo que necesitas; si quieres limpiar apps maliciosas genéricas, no.

Pero, aunque no sustituya al antivirus, pero sí aporta un diagnóstico valioso frente a amenazas de alto perfil. Ejecutarlo es una lección de privacidad aplicada: entiendes qué datos generas, cómo se examinan y qué señales deberían preocuparte. Y si el informe sale limpio, podrás dormir mejor.

En Genbeta

El software que infectó el móvil de Pedro Sánchez ya no sólo ataca a políticos. Han encontrado a Pegasus en personas de a pie

2) ¿Qué hace MVT exactamente?

En primer lugar, descarga una base de IoC mantenida por investigadores y la usa para cotejarla con datos de tu dispositivo. En un caso real se cargaron 10.752 indicadores antes del análisis.

A continuación, revisa señales sensibles: SMS (enlaces sospechosos), historiales de apps compatibles, registros del sistema y propiedades del terminal. Finalmente, devuelve un veredicto por colores:

• Verde: progreso informativo.
• Amarillo (advertencia): algo anómalo que requiere interpretación humana (no confirma infección).
• Rojo: fallo técnico en la extracción/lectura, no necesariamente infección.

Vale. ¿Y qué hago si veo avisos amarillos? Interprétalos con calma: pueden ser falsos positivos o elementos legítimos. Repite el análisis, revisa los elementos señalados y, si hay dudas razonables, consulta a profesionales o a la documentación oficial.

3) Guía paso a paso

El proceso para poner en marcha el análisis es más sencillo en Linux, pero también es posible en Windows utilizando el Subsistema de Windows para Linux (WSL) y una utilidad llamada usbipd-win para "puentear" el puerto USB al entorno Linux.

Nota: No rootees tu Android sólo "para ver más": MVT puede trabajar sin root y la herramienta desaconseja explícitamente rootear para realizar el análisis.

3.1. Preparar el entorno (Linux o WSL/Ubuntu)

1. Actualiza el sistema e instala Python 3 + pip + venv.
2. Crea un entorno virtual y actívalo para aislar dependencias.
3. Instala MVT con pip y descarga los IoC con mvt-android download-iocs.

3.2. Preparar el móvil Android

Activa las Opciones para desarrolladores y Depuración por USB (Ajustes → Acerca del teléfono → pulsa 7 veces en "Número de compilación"; vuelve y activa la depuración).

En Xataka Android

Cómo activar las opciones de desarrollador en Android y para qué sirve

3.3. Conectar y analizar en Linux

• Instala ADB (android-tools-adb) desde tu gestor de paquetes favorito.
• Conecta el móvil, acepta la huella RSA y verifica con adb devices (estado: device).
• Ejecuta el chequeo: mvt-android check-adb -o ./resultados_analisis/ para generar los informes.

3.4.  Conectar y analizar en Windows (con WSL)

El flujo es más largo porque hay que puentear el USB desde Windows hacia WSL:

1. En WSL instala ADB ejecutando, primero, esto en WSL:

sudo apt install android-tools-adb -y.

1. Luego, en PowerShell (como administrador) instala "usbipd-win" con este comando:

winget install --interactive --exact dorssel.usbipd-win

1. Volvemos a WSL:

sudo apt install linux-tools-generic hwdata

sudo update-alternatives --install /usr/local/bin/usbip usbip /usr/lib/linux-tools/*-generic/usbip 20

1. Y ahora, otra vez en PowerShell, tendremos que establecer el protocolo de conexión (recuerda sustituir "tu ID" por el número asignado que verás en la lista tras ejecutar el primer comando):

usbipd list

usbipd bind --busid "tu ID" --force

usbipd attach --wsl --busid "tu ID"

1. Y ahora sólo quedaría autorizar, verificar y ejecutar MVT en la terminal de WSL:

adb devices

mvt-android check-adb -o ./resultados_analisis/

Tras esto, la herramienta empezará a funcionar y te devolverá un sumario final con el veredicto.

4) Buenas prácticas tras el análisis

• Actualiza el sistema y las apps, y revisa la fecha de parche de seguridad con regularidad.
• Refuerza tu navegación (configuración de navegador, cautela con enlaces y adjuntos) y desconfía de APK fuera de tiendas oficiales.

Vía | Xataka Android
Imagen | Marcos Merino mediante IA
En Genbeta | Han creado el malware definitivo. Tenemos suerte de que lo haya hecho uno de los buenos, o sería una pesadilla

Según Pradeo, una destacada compañía de ciberseguridad móvil, a la Google Play Store —la tienda de aplicaciones de los dispositivos Android— se le habían colado dos aplicaciones maliciosas: concretamente dos apps espía que venían usando hasta 1,5 millones de usuarios del sistema operativo móvil.

Google, por supuesto, ya las ha eliminado de su tienda… pero eso no las borrará de los dispositivos en las que estuvieran ya instaladas. Así que, toma nota: se llaman 'File Recovery & Data Recovery'  y 'File Manager' (aunque ten cuidado, hay varias que se denominan como esta última).

Te recordamos las diferentes formas en que puedes desinstalar aplicaciones en Android.

Ambas aplicaciones, del mismo desarrollador ('Wang Tom'), están programadas para ejecutarse sin ninguna interacción por parte del usuario… y para proceder a enviar de forma oculta datos sensibles del usuario a servidores situados en China.

En Genbeta

Cuidado con las apps que ves anunciadas en Facebook: muchas son malware que infectarán tu Android de publicidad

Mejor pedir perdón que permiso, habrá pensado Wang Tom

Si bien las aplicaciones afirman no estar recopilando datos del dispositivo, el motor de análisis de comportamiento de Pradeo descubrió que ambas aplicaciones, además realizaban constantes conexiones para transmitir datos a servidores en la nube, extraían los siguientes datos (y se las apañaban para hacerlo sin solicitar permisos):

• Contactos guardados en el dispositivo.
• Contactos de correo electrónico y redes sociales.
• Imágenes, audio y video almacenados en la aplicación.
• Ubicación en tiempo real del usuario.
• Marca y modelo del dispositivo.
• Nombre del proveedor de red.
• Número de versión del sistema operativo.

La posibilidad de que dos aplicaciones de 'gestión de archivos' y de 'seguridad' mostraran tales actividades ocultas y tuvieran que acceder a toda esa información por motivos legítimos es, digamos, bastante remota: la mayoría de estos datos no son necesarios para las operaciones de gestión de archivos y recuperación de datos.

'No data collected', dijo Pinocho.

No terminan ahí las actividades objetables de estas aplicaciones, no: además, ambas apps contaban con la capacidad de reiniciar el dispositivo y ejecutarse silenciosamente en segundo plano… y, una vez instaladas, borraban sus iconos de la pantalla de inicio para dificultar la desinstalación, una táctica ya usada por varias apps maliciosas.

Pero, ¿cómo ha logrado el creador de estas apps que sus apps sean tan descargadas? Según Pradeo, que señala que su número de reseñas en menor del esperado con tantas instalaciones, es probable que haya usado emuladores o instalado 'granjas' para aumentar el número de instalaciones artificialmente, con el objetivo de hacer parecer más confiables sus apps.

Y si hasta ahora no habías instalado un antivirus en tu Android porque pensabas que el malware era 'cosa de los PC', quizá deberías pensártelo mejor y aplicar una protección extra a tu dispositivo móvil.

Vía | Tom's Guide

Imagen | Pixabay

En Genbeta | Cómo instalar la Google Play Store en Windows 11 y no depender de la tienda de Amazon para tener apps Android en nuestro PC

El próximo 20 de noviembre arranca de manera oficial el Mundial de Qatar 2022, y ya son muchos los detalles que conocemos como por ejemplo las plataformas en las que se va a poder visualizar durante los dos meses en los que se desarrollará.

Si bien, este Mundial ha estado rodeado desde el primer momento por numerosas polémicas relacionadas principalmente con la política local. Ahora se unen también dos aplicaciones que desde Catar obligarán a instalar a todos los que vayan a ir al país en la que se ha encontrado spyware.

Catar quiere acceder a tus datos a través de dos aplicaciones

Esta información llega de manera directa desde expertos desde los expertos de seguridad NRK que han analizado estas nuevas aplicaciones que se va a exigir a todos los asistentes. El problema es que todas estas va a comprometer tus datos personales a cambio de querer ver todos tus datos personales.

Una de estas aplicaciones es Ehteraz que tiene un funcionamiento similar a Radar COVID al ir rastreando los contactos. Pero lo verdaderamente importante que hay detrás es que pide acceso a prácticamente todo tu dispositivo, como leer los contenidos, conectarse a redes Wifi o deshabilitar el bloqueo de pantalla. Todo esto no es demasiado necesario para rastrear contactos COVID. Este es un claro indicativo de que va a extralimitarse en sus funciones para rastrear datos de otra índole.

La segunda aplicación que se deberá instalar es Hayya, que tendrá como misión ofrecer información de cómo moverse por el Mundial. Aquí se incluye la información de todos los partidos y la forma de desplazarse hasta los estadios.

Pero como ocurre en el caso anterior, se solicitan demasiados permisos a toda la información del dispositivo como la ubicación, los contactos y prácticamente todo lo que hagas con él. Además, esta información se envía por canales que no son seguros, así que pasaría a estar la información desencriptada viajando a los servidores de los desarrolladores de estas utilidades.

En Genbeta

16 consejos de la AEPD para protegernos mejor contra el seguimiento de nuestros pasos en Internet

Sin duda esto es algo alarmante, ya que el gobierno de Arabia Saudí quiere tener controlados a todos los turistas que van a ir a ver el campeonato de fútbol. Pero la gran pregunta es cómo van a asegurarse de que has instalado esa aplicación que han decretado como obligatoria.

Se puede dar el caso de que en el propio control fronterizo se termine obligando a los turistas a enseñar su móvil para saber si están correctamente instaladas las aplicaciones. Si bien, los expertos en seguridad consultados afirman que esto no es algo del todo común. Es por ello que se crea un estado de incertidumbre total, que se resolverá cuando se llegue a Catar.

Durante los últimos meses, Pegasus ha estado en la boca de muchas personas. En España, por ejemplo, ha sido protagonista de enfrentamientos entre gobierno central y autonómico, por supuestamente espiar los móviles de adversarios políticos gracias a este software que hasta ese gran boom era completamente desconocido.

Pero durante meses este software espía estaba en boca de todo el mundo y en diferentes medios de comunicación. El problema es que para cualquier persona ajena a este software, no se puede llegar a imaginar como es. A priori parecía un simple programa donde se introduce código como en las películas para obtener el resultado. Pero una filtración que proviene de la policía de Israel de un prototipo de Pegasus muestra que tiene una interfaz como otro programa cualquiera, aunque para nada atractiva.

La interfaz de Pegasus al descubierto

Tal y como informan desde Haaretz este software fue gestado por la policía de Israel con tal de conseguir un software espía que funcionara con cualquier tipo de dispositivo. Aunque con tal de pasar completamente desapercibidos se creó un grupo de trabajo de la policía con un jefe de inteligencia. Esto es algo que se definió como una policía dentro de la policía, y nadie sabe lo que pasa ahí.

Ahora se han filtrado las capturas de pantalla para saber como funcionan, y lo cierto es que nos ha sorprendido. El software nada más que mirándolo por encima parece que está sacado de películas policiacas o de espías en los que con pulsar un botón se obtiene toda la información necesaria. Y es que precisamente lo que estamos viendo demuestra que existen muchas opciones posibles en la interfaz para poder rastrear a una persona, con iconos en la parte superior.

En Genbeta

iOS 16 será capaz de evitar un spyware como Pegasus: así funcionará el modo de aislamiento

Esta gran cantidad de botones hace que sea posible tener una mayor accesibilidad para cualquier persona que no esté familiarizada con la informática. De esta manera se puede destacar en la parte superior la posibilidad de acceder a los mensajes de texto, audio en directo, llamadas que se realizan e incluso la ubicación en tiempo real. Todo esto agrupado con pestañas sobre las que con un simple clic se obtiene toda esta información rápidamente.

Lo que se debe tener en cuenta es que estas imágenes responden a un simple prototipo que emergen tras las acusaciones a la policía de Israel de usarlo de manera ilegal. Es por ello que el software usado de manera internacional puede tener otro aspecto a priori, aunque lo que parece claro es que los desarrolladores quisieron hacerlo tremendamente fácil de usar y no usar códigos realmente complejos para sacar información del spyware.

Una serie de ciberataques contra usuarios del antivirus Avast en Oriente Medio ha permitido que los expertos de la compañía descubriesen una 'vulnerabilidad de día cero' en el navegador Google Chrome (bautizada como CVE-2022-2294). El equipo de Avast Threat Intelligence informó de esta vulnerabilidad a Google, que la parcheó el 4 de julio de 2022.

Dado que Google se ha apresurado a parchear la vulnerabilidad, para salvaguardar nuestro equipo bastará con mantener actualizado nuestro navegador Chrome. La mayoría de los otros navegadores basados en Chromium han liberado ya, también, dicha actualización.

Pero además de la existencia de la vulnerabilidad, en Avast están seguros de haber identificado quién estaba explotando esta vulnerabilidad ahora desconocida.

Otro caso similar al famoso 'Pegasus'

Según afirma la compañía, el equipo de Avast Threat Intelligence ha podido rastrear el origen de los ataques hasta un spyware desarrollado en Israel, descubriendo que, entre los objetivos de dichos ataques, se encontraban varios periodistas del Líbano, así como otros usuarios de Turquía, Yemen y Palestina.

Concretamente, los miembros de dicho equipo atribuyen, basándose en el malware y las tácticas utilizadas para llevar a cabo el ciberataque, al proveedor de software espía Candiru (con sede en Tel Aviv), conocido por vender software de espionaje a clientes gubernamentales… y al que Microsoft ya sorprendió vigilando a usuarios españoles el año pasado a través de su software Sourgum.

Este ataque permite, en primer lugar, obtener un perfil del navegador web de la víctima, basándose en la recopilación de medio centenar de factores: idioma de la víctima, la zona horaria, tipo de dispositivo, los plug-ins instalados en el navegador, la ubicación de referencia, la memoria del dispositivo, la funcionalidad de las cookies, etcétera.

En Genbeta

Qué es Pegasus y qué hace este sofisticado sistema de espionaje israelí usado masivamente

Una vez que dicha información obra en manos de los atacantes, y si ésta indica que el objetivo es lo que los atacantes estaban buscando, se envía un exploit mediante canal cifrado para aprovechar la vulnerabilidad de día cero a través de un software conocido como DevilsTongue ('lengua de diablo').

Una vez que se ejecuta en el equipo de la víctima, DevilsTongue, un avanzado software espía, que intenta escalar sus privilegios para obtener acceso completo al dispositivo de la víctima, grabando a través de la cámara web y el micrófono, registrando las pulsaciones de su teclado, filtrando sus mensajes, accediendo al historial de navegación, las contraseñas o la geolocalización, etc.

Jan Vojtěšek, investigador de malware de Avast, ha declarado que

"En el Líbano, los atacantes parecen haber comprometido el sitio web utilizado por los empleados de una agencia de noticias. No podemos decir con seguridad lo que los atacantes podrían estar buscando, sin embargo, a menudo la razón por la que los atacantes van tras los periodistas es para espiarlos y conocer las historias en las que están trabajando de forma directa, o para llegar a sus fuentes y reunir información comprometedora y datos sensibles que compartieron con la prensa".

Actualmente existen numerosas amenazas por internet que intentan conseguir nuestros datos personales o bancarios de manera constantes. SMS, email o simplemente una descarga en una página web puede terminar siendo fatal para tus dispositivos objetivos. Pero detrás de esto hay una gran cantidad de términos que para algunas personas pueden ser desconocidos: spyware, malware, virus, gusano, troyano, adware, ransomware

Todas estas palabras pueden llegar a ser conocidas por algunas personas, pero siempre se agrupa dentro de la categoría de "virus informático". Y lo cierto es que entre todas estas amenazas hay multitud de diferencias que se deben tener en cuenta para poder entenderlo.

Qué es un malware

Malware es un término realmente amplio que define a todos los software que son hostiles y tratan de infectar tu dispositivo. Es por ello que aquí se pueden englobar al resto de amenazas que son más específicas, como son el spyware, el adware o el troyano, entre otras. Si nos vamos al término en sí, hay que destacar que está formada por dos palabras que lo definen muy bien: malicious software, lo que se traduce como software malicioso.

Estos malware tienen la misión de eliminar datos que son confidenciales, modificar las órdenes básicas que tiene el ordenador y también espiar todo lo que estás haciendo en tu ordenador. Pero es verdad que en muchas ocasiones no todo lo que hace estas tres acciones es considerado un malware.

Hay que distinguir también todos los programas que tienen errores internos en su código. Estos pueden infiltrarse dentro de las órdenes internas del ordenador haciendo que el sistema se vuelva completamente vulnerable. Pero no necesariamente se debe por un archivo malicioso que se considere malware.

Qué es un spyware

Uno de los tipos más comunes de malware puede ser el spyware, que es un software malicioso que tiene como objetivo mantenerse completamente oculto. Es decir, este no va a mostrar ninguna pista que sea evidente, y siempre van a ser sutiles. Entre ellas se destaca una ralentización del equipo, el bloqueo del ordenador o móvil e incluso la aparición de iconos extraños en la barra de tareas.

El principal objetivo de un spyware es recopilar la información de un dispositivo móvil o un ordenador. Dentro de un ordenador va a poder desarrollar una gran cantidad de operaciones. Las principales son las siguientes:

• Registrar todo lo que estás escribiendo con el teclado para poder robar tus contraseñas o la información bancaria. Esto es lo que se denomina Keylogging, otra amenaza que está presente en el día a día.
• Activar la webcam y el micrófono conectado al ordenador para captar la imagen o el sonido ambiental, así como la posibilidad de realizar capturas de pantalla.
• Controlar el dispositivo de manera remota para acceder a información confidencial.
• Capturar el contenido que está presente en el correo electrónico.
• Exportar información vital como el historial web, contraseñas o información bancaria que tengas almacenada en tu navegador.

Qué es un Red Shell

Red Shell es un problema que está encaminado especialmente a todos los gamers, y que entra dentro de la categoría de spyware. Se dice que está diseñado para los jugadores porque se instala en el ordenador a la misma vez que cuando se copian los archivos de un videojuego.

Este tiene como misión hacer un seguimiento de la actividad que se realiza en los juegos en línea. Se toman numerosos datos, como por ejemplo donde estás entrando con mayor frecuencia, o como te vas moviendo por un escenario completo. Y aunque pueda parecer una tontería, esta es una información realmente valiosa.

Con todos estos datos son muchos los desarrolladores que van a buscar crear mejores juegos al comprender exactamente que es lo que está buscando un jugador. Esto se suma también a hacer mejores campañas publicitarias para saber donde se puede terminar enfatizando. Y lo realmente interesante es que no se quedan únicamente en juegos menores, sino que grandes desarrolladores lo han integrado. Uno de los ejemplos más claros puede ser Civilization VI el cual se vio obligado a retirarlo.

Qué es un adware

Dentro de los spyware, se puede encontrar también el adware cuyo nombre no deja demasiado misterio sobre la función que desempeña dentro del ordenador. Este se define como un software que se dedica a mostrar anuncios en la pantalla (en el explorador) de manera constante. Este normalmente se infiltra a través de la instalación de otro programa, aceptando su propia instalación en el ritual clásica de dar constantemente a "siguiente" sin leer lo que se está instalando.

Este malware se puede llegar a presentar de muchas maneras. La primera de ellas es a través de la aparición de anuncios emergentes en el proceso de instalación de un programa. Pero también en avisos constantes de programas extraños e incluso de avisos de virus para que termines haciendo clic. En definitiva, se van a realizar una serie de acciones realmente molestas, que van a interferir en tu día a día.

La gran pregunta que te puedes hacer es: ¿qué aporta a quién lo ha desarrollado? Este adware no va a robar tu información, sino que va a generar un ingreso de manera constante a quien lo ha desarrollado, como ocurre con cualquier publicidad que te encuentras en internet.

Definición de virus informático

Esta sin duda es uno de los términos más usados por cualquier persona que no tiene conocimientos en informática. Esto se debe a que bajo este nombre se agrupan prácticamente todos los archivos maliciosos que hemos comentado de una manera coloquial.

El principal objetivo que tiene un virus es alterar el funcionamiento de un dispositivo cambiando su código interno. Uno de los ejemplos más claros puede ser el virus Barrotes, el primero de marca española y también uno de los más malignos del mundo. Este se dedicaba a que aparecieran barras en la pantalla del ordenador como si se tratara de una cárcel.

Muchas personas, cuando se habla de virus, se piensa automáticamente en un virus biológico. Y es que si pensamos en este tipo de microorganismo, tiene como misión acceder a nuestras células para alterar la máquina de transcripción y generar sus copias (a grandes rasgos). Esto es similar a lo que hace el virus informático, y es por ello que tiene el nombre idéntico.

En Genbeta

Descubren una técnica de infección de malware nunca antes vista: inyectar código malicioso en los 'logs' de Windows

Y aunque en la actualidad hay una gran cantidad de virus, todos tienen como misión el controlar las entrañas de un ordenador. Muchos de estos llegan a través de programas ejecutables con la extensión .exe, siendo realmente fácil poder infectar tu equipo con este. Algunos de estos pueden ser inofensivos, pero otros tienen una capacidad destructiva total que afecta a las unidades de arranque.

Qué es un troyano

Cuando hablamos de troyano, automáticamente se puede pensar en el famoso Caballo de Troya de la Odisea de Homero, usado para atravesar las murallas de Troya, pasando desapercibido. Y es que precisamente esto es lo que hace un troyano: pasar por las fronteras que tiene tu ordenador para entrar a sus entrañas y abrir una puerta trasera para que entren otros programas.

Es decir, no tiene unas acciones destructivas por si solo, sino que va a permitir entrar a los programas que si van a destruir el interior del equipo. En principio van a llegar con ejecutables que parece que son programas completamente de confianza y que vas a ejecutar sin ningún tipo de problema, e instalará un programa que podrás usar.

El objetivo principal de este es filtrar toda la información personal que se pueda almacenar en el PC o un móvil para que los desarrolladores puedan usarlos a su antojo o venderlos. Aunque también podrá inocular otra infección con programas que vayan entrando.

En Genbeta

Hábitos, utilidades y consejos para protegerse del ransomware

Gusano informático

Este malware tiene sin nombre realmente curioso, además de una función que para muchos les sorprenderá. Esto se debe a que no va a entrar en el equipo modificando algún archivo. Se va a conseguir a través de la red de internet a la que se está conectado.

El principal objetivo de este gusano es robar información. Se centra en todos los contactos que tengas almacenados para poder enviarlos de manera externa y tratar de infectarlos nuevamente. Todo esto sin tener que manipular nada, haciéndolos realmente complicados de detectar. El único síntoma que se puede manifestar es el alto consumo de RAM, algo que se debe ir monitorizando siempre.

Como es lógico, esta es una información que finalmente se va a almacenar en una base de datos con el objetivo de ir creando botnets. Estos finalmente se van a usar para ir creando listas de SPAM para enviar masivamente mensajes con enlaces fraudulentos.

Qué es un ransomware

Por último, hay que destacar uno de los problemas que con mayor frecuencia se ha encontrado en la Administración Pública o en el día a día de cualquier usuario. El propio nombre ya indica con el término Ransom que este es un software destinado a secuestrar toda la información que haya en un ordenador o base de datos. Para poder recuperarla siempre se solicita un rescate económico (normalmente en Bitcoins) para poder descifrar todos los datos.

En este caso el sistema de infección es realmente amplio, ya que puede acceder por numerosas vías al ordenador. Ya sea por un gusano o por un troyano que ha abierto una puerta trasera, siempre tus datos estarán en riesgo. A la hora de activarse el ransomware mostrará una pantalla en la que cuál no vas a poder manipular nada. Informará que todos los datos de la unidad de almacenamiento están encriptados. Para desbloquearlos deberás seguir las instrucciones de la pantalla donde se mostrará la cantidad y también el modo de pago.

Google a través de una investigación conjunta con Lookout Threat Lab ha lanzado un aviso global relacionado con un peligroso software espía que está siendo usado por los gobiernos para sustraer información de los móviles. Este ha sido bautizado como Hermit y ya se puede considerar un nuevo Pegasus que ataca por igual tanto a iOS como Android.

Este spyware ha sido desarrollado presuntamente por la empresa italiana RCS Lab, y puesto a disposición de diferentes agencias de inteligencia y también gobiernos de todo el mundo. A día de hoy se conoce que lo ha adquirido tanto Italia como Kazajistán.

El nuevo Pegasus roba información de manera sofisticada

Tal y como ha denunciado Google a través de un artículo, el modo de actuación es realmente sofisticado. Esto hace que el spyware se pueda camuflar detrás de aplicaciones que a simple vista pueden parecer completamente oficiales. Entran aquí las aplicaciones oficiales de Samsung, de mensajería y también de las operadoras que están instaladas para realizar ajustes comunes.

La distribución se realiza a través de un simple SMS que parece que tiene una procedencia completamente legítima. Pero el problema es que el mensaje va a solicitar descargar un archivo para poder solucionar un fallo interno del dispositivo. Al final, lo que se estará instalando es esta aplicación maliciosa que pasará inadvertida al parecerse a una app de mensajería, de operadora o la oficial de Samsung.

Una vez el malware ya está instalado en el dispositivo va a poder tener acceso a todo lo que contenga. Pero hay que destacar que la aplicación por si sola no incluye las herramientas de ataque. Actúa como una simple puerta de entrada para descargar todos los exploits necesarios que le dará el poder necesario para extraer toda la información que interese al atacante.

Esto sin duda es algo realmente peligroso, ya que según las cifras de Google se ha podido llegar a infectar 10.000 dispositivos al día en Europa. Porque van mucho más allá, al aliarse con las operadoras para poder desconectar al objetivo de internet para poder hacerles caer más efectivamente en esta trampa. Esto se consigue al prometer que con la descarga de un archivo se va a conseguir volver a la normalidad. De esta manera se pueden comprobar las muchas técnicas que existen para infiltrarse en un móvil.

En Xataka

¿Cuál es la diferencia: malware, virus, gusanos, spyware, troyanos, ransomware, etcétera?

En los próximos meses seguramente se verá como se arrojan muchos más datos acerca de este spyware. Pese a que únicamente se han detectado ataques en Italia y Kazajistán, el hecho de que cualquier gobierno puede acceder a el hace más que probable que se termine extendiendo su uso como ya ocurre con Pegasus.

A través de una rueda de prensa convocada este mismo lunes, hemos sabido que tanto los teléfonos móviles de Pedro Sánchez, presidente de España, como de Margarita Robles, ministra de Defensa, fueron infectados con el malware Pegasus. Felix Bolaños, ministro a la Presidencia, ha confirmado la "extracción de un determinado volumen de datos de los terminales".

En la comparecencia han afirmado que cuentan con dos "informes concretos" de toda la maniobra. En el caso de Pedro Sánchez, su teléfono fue infectado con Pegasus en dos ocasiones: una de ellas en mayo, y la otra en junio de 2021. La ministra de defensa dispuso de este malware en su teléfono también en junio. En la rueda de prensa se ha confirmado que no hay pruebas sobre casos posteriores.

Ambos dispositivos fueron infectados en mayo y junio de 2021

Los informes documentados por el Centro Criptológico Nacional ya están en manos de la justicia, además de haber sido presentada la correspondiente demanda a la Audiencia Nacional. El Gobierno ha explicado que, en esta ocasión, el espionaje a través de Pegasus es ilícito, ya que no existe autorización para instalar esta potente herramienta en los dispositivos mencionados.

En Xataka

"Tenemos la absoluta seguridad de que es un ataque externo". Los teléfonos de Pedro Sánchez y la ministra de defensa han sido infectados con Pegasus, según el Gobierno

Actualmente el Gobierno se encuentra investigando si Pegasus ha sido utilizado para irrumpir en más dispositivos de sus miembros. Según Bolaños, tienen la certeza de que se ha instalado este malware a través de un ataque externo, ya que indica que todas las intervenciones con este spyware se realizan a través de organismos estatales y con autorización judicial.

El hecho de que ambos dispositivos hayan quedado infectados sí cuenta como hecho ilícito, ya que el proceso no ha sido llevado a cabo a través de los organismos estatales ni contando con autorización judicial.

Pegasus, la potente herramienta que ha irrumpido en los teléfonos de multitud de personalidades

Pegasus es un spyware que fue conocido por primera vez en 2016, y que años más tarde se popularizó debido a que se consiguió irrumpir en el dispositivo móvil de Jeff Bezos a través de este malware. Fue desarrollado por la empresa israelita NGO Group, y uno de sus puntos destacados es que puede ser instalado en dispositivos móviles sin intervención por parte del usuario.

El uso de Pegasus fue pensado en un primer momento para que las autoridades y gobiernos de los respectivos países puedan utilizarlo como herramienta, siempre y cuando se respete la ley y a través de autorización judicial. Sin embargo, no es la primera vez que ha sido usado como spyware malintencionado. De hecho, el pasado año, a través de una investigación se descubrió una lista con alrededor de 50.000 objetivos potenciales que recoge periodistas, políticos, activistas y opositores a regímenes políticos autoritarios. Esto supuso una gran polémica alrededor de la herramienta, poniendo en grave peligro a los usuarios que tuvieran instalado el malware.

La semana que viene darán comienzo los Juegos Olímpicos de Invierno, un evento que se celebrará en las ciudades chinas de Pekín y Zhangjiakou. Esto es importante, no solo a nivel deportivo, mediático y cultural, sino también por ser una de las poquísimas excepciones en las que se abrirá una grieta en el 'Gran Cortafuegos' de China. Sin embargo, pese a que el país haya abierto el flujo de información a nivel internacional con motivo de este gran evento, de puertas para adentro todo parece indicar que la realidad es bien distinta.

El miedo a la cibervigilancia se encuentra presente, y prueba de ello son las recomendaciones que cada país está transmitiendo a sus atletas ante el uso de dispositivos móviles y equipos, haciendo especial hincapié en que no usen los suyos propios, ya que el gobierno chino podría monitorizar, comprometer, e incluso bloquear todo tipo de comunicaciones. Este hecho se refuerza gracias a la labor de Jonathan Scott, investigador independiente experto en spyware móvil. Y es que al parecer, la aplicación china de los Juegos Olímpicos para los atletas, contiene código que permite la recolección de audio y que va a parar hacia los servidores de China, una app que deben descargar de manera obligatoria.

En Genbeta

Amazon retiró en China todas las críticas negativas al libro del presidente chino, según un documento interno filtrado por Reuters

Una app que contiene spyware, recopilando información para los servidores en China

La tecnología utilizada en la app de 'MY2022' incluye tecnología de 'iFLYTEK', una empresa que fue incluida en la lista negra de los Estados Unidos por 'desatender los derechos humanos y la privacidad de datos'. Y es que esta compañía china es conocida por utilizar técnicas de spyware en sus tecnologías. De hecho, entre sus desarrollos se encuentra un asistente de voz inteligente similar a Alexa, Siri y demás, el cual se ha demostrado que la información recopilada por los usuarios va directamente al gobierno de China.

Imagen: Jonathan Scott

En la página de Github dedicada a ofrecer versiones descompiladas de esta aplicación para iOS y Android, se puede ver un buen puñado de evidencias y referencias a código expresamente diseñado para recopilar información de los participantes. En el PDF que la directiva de los Juegos Olímpicos ha emitido, se puede ver cómo recomiendan la descarga y uso de esta aplicación 'al menos 14 días antes de la salida a China'.

La aplicación tiene como objetivo ofrecer información de especial relevancia sobre los Juegos Olímpicos a los atletas participantes, además de ser una vía para controlar la salud de los atletas mediante una herramienta para subir los resultados de sus tests de COVID. Sin embargo, a través de ingeniería inversa, se ha descubierto que contiene spyware, teniendo la capacidad de recopilar información que se almacena en los servidores de China.

'MY 2022' una app que no hace saltar las alarmas en Apple ni Google

Anteriormente, cuando descargábamos esta aplicación en la App Store, desde la tienda nos confirmaban que 'el desarrollador no recopila ningún tipo de información a través de la aplicación'. Sin embargo, esto ha cambiado recientemente, como se puede ver en la imagen de arriba. En lo referente a Android, si nos vamos a la Play Store, vemos todos los permisos que debemos de conceder para instalar la aplicación, una lista bastante extensa que involucra acceso a localización, red, contenido en nuestro dispositivo, etc.

Imagen: Jonathan Scott

Scott pudo investigar el código de manera profunda y descubrió algunas funciones que pueden ser modificadas y activadas de manera remota, entre ellas 'makePhoneCall', 'startWifi', 'connectWifi', etc. Además, también expone cómo la tecnología de iFLYTEK interactúa con el usuario en esta aplicación, recopilando también información sobre el estado de vacunación y salud de todos los participantes de los Juegos Olímpicos.

El investigador asegura que pronto lanzará un informe más detallado de todos los datos que ha ido recopilando mediante ingeniería inversa. No obstante, esto son solo algunos indicios de que China no abrirá su 'Gran Cortafuegos' al mundo sin tomar medidas al respecto.

El software de vigilancia FinFisher se ha actualizado para infectar dispositivos Windows mediante un bootkit UEFI (Unified Extensible Firmware Interface).

Según lo que han descubierto desde empresas de seguridad como Kaspersky, este malware aprovecha un gestor de arranque de Windows troyanizado y esto supone un importante cambio en los vectores de infección que permite eludir que un sistema lo descubra o analice.

FinFisher (también conocido como FinSpy o Wingbird) es un conjunto de herramientas de software espía para Windows, macOS y Linux desarrollado por la empresa anglo-alemana Gamma International y suministrado exclusivamente a las fuerzas de seguridad y los organismos de inteligencia. Pero al igual que con Pegasus de NSO Group, el software también se ha utilizado para espiar a activistas en Bahréin en el pasado.

Qué información puede robar FinFisher en Windows

Según las últimas informaciones, FinFisher está equipado para robar credenciales de usuario, listados de archivos, documentos sensibles, grabar pulsaciones de teclas, desviar mensajes de correo electrónico de Thunderbird, Outlook, Apple Mail e Icedove, interceptar contactos de Skype, chats, llamadas y archivos transferidos, y capturar audio y video ya que puede obtener acceso al micrófono y a la cámara web de un equipo.

En Genbeta

Proliferan los falsos instaladores de Windows 11 que llenarán de malware nuestro PC, advierte Kaspersky

La última característica que se ha añadido, según los últios descubrimientos, es la capacidad de desplegar un bootkit UEFI para cargar FinSpy, con nuevas muestras que cuentan con propiedades que sustituyen el cargador de arranque UEFI de Windows por una variante maliciosa y cuenta con "otros métodos de evasión de la detección para ralentizar la ingeniería inversa y el análisis".

"Esta forma de infección permitió a los atacantes instalar un bootkit sin necesidad de saltarse las comprobaciones de seguridad del firmware", afirmó el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky en sus conclusiones tras una investigación de ocho meses. "Las infecciones por UEFI son muy raras y generalmente difíciles de ejecutar, destacan por su evasión y persistencia".

La particularidad de UEFI

La UEFI es una interfaz de firmware y una mejora del sistema básico de entrada/salida (BIOS) con soporte para el arranque seguro, que garantiza la integridad del sistema operativo para asegurarse de que ningún malware ha interferido en el proceso de arranque.

Pero como la UEFI facilita la carga del propio sistema operativo, las infecciones de los bootkits no sólo son resistentes a la reinstalación del sistema operativo o a la sustitución del disco duro, sino que además pasan desapercibidas para las soluciones de seguridad que se ejecutan dentro del sistema operativo.

Imagen | The Hacker News