En Facebook, Rita, Alona y Christina parecían ser como millones de otros ciudadanos de Estados Unidos que comparten sus vidas con el mundo. Charlaban acerca de salidas familiares, compartían emojis y comentaban las fotografías de los demás.
Pero en realidad las tres cuentas formaban parte de una operación de cibercrimen muy específica, utilizada para propagar malware que puede robar contraseñas y espiar a las víctimas.
Piratas informáticos con enlaces a Líbano probablemente ejecutaron este esquema encubierto con una cepa de malware llamada Tempting Cedar Spyware, según investigadores de la compañía antivirus Avast, con sede en Praga, que detalla sus hallazgos en un informe publicado el miércoles.
En una trampa de miel, la antigua táctica que usa relaciones románticas o sexuales para un propósito personal, político o monetario, los objetivos de los atacantes eran en su mayoría hombres, atraídos por falsas mujeres atractivas.
En ataques como este, los hackers mandan mensajes coquetos en Facebook a las víctimas elegidas, alentándolas a descargar una segunda aplicación de chat, que realmente es una trampa, conocida como Kik Messenger, para tener conversaciones “más seguras”. Tras el análisis, los expertos de Avast descubrieron que “muchos cayeron en la trampa”.
LEE TAMBIÉN: Las empresas mexicanas, el jugoso objetivo de los secuestradores de datos
El malware de espionaje Android fue diseñado para robar datos, incluyendo listas de contactos, registros de llamadas, textos, fotos, geolocalizaciones en tiempo real y también grabar conversaciones. En resumen, podría transformar un teléfono inteligente en la herramienta de espionaje.
Las víctimas de la operación tuvieron que ajustar la configuración de seguridad de su dispositivo para instalar la aplicación Kik falsa desde una fuente desconocida, lo que debería haber alertado a los usuarios. Pero como dijeron los investigadores de Avast en su informe: a veces la tentación supera a la seguridad.
Se encontraron al menos tres cuentas de Facebook con enlaces al “spyware”. Usaron los nombres de Rita, Alona y Christina y fotos robadas de personas reales. En una clara señal de que se trataba de una campaña coordinada, los perfiles habrían interactuado entre ellos.
En una actualización de “Family Day Out” de Rita, Christina intervino: “Ustedes lucen un atuendo adorable tan lindo”. La respuesta decía: “gracias cariño” junto a un emoji sonriente. Además, publicaron capturas de pantalla de un mapa para afirmar que estaban en San Francisco, California.
Una búsqueda en Facebook por Newsweek confirmó que las cuentas se han eliminado.
Foto: Avast
La mayoría de las víctimas eran en el Medio Oriente. Aunque estaba son principalmente de Israel, otros objetivos se infectaron en Estados Unidos, Francia, Alemania y China.
Los sitios web y horarios de los atacantes aluden a una participación libanesa. Sin embargo, al igual que con los principales esquemas de cibercrimen, la atribución sigue siendo difícil de probar con certeza. Parece que “Tempting Cedar Spyware” ha estado en uso desde 2015.
Los “Me gusta” de los perfiles falsos de Facebook también debían encender las alertas, dijeron los investigadores. En un ejemplo, descubrieron que Rita estaba interesada en grupos militares, incluidos el Ejército de Estados Unidos Las Fuerzas de Defensa de Israel (IDF) y la Conexión de Amistad Líbano e Israel.
“Excepcionalmente peligroso”
“A pesar de las técnicas poco sofisticadas y el nivel de seguridad operacional que se utiliza, el ataque logró permanecer sin detectar durante varios años”, concluyó Avast.
“Los ciberdelincuentes detrás del ‘Tempting Cedar Spyware’ pudieron instalar una pieza persistente de spyware explotando los medios sociales, como Facebook, y la falta de conciencia de seguridad de las personas, y pudieron recopilar datos confidenciales y privados de los teléfonos de sus víctimas, incluyendo datos en tiempo real de la ubicación que hacen que el malware sea excepcionalmente peligroso”.
Foto: Avast
El año pasado, el Jerusalem Post reveló que varios soldados de las FDI se habían visto comprometidos luego de ser atacados con éxito en una campaña similar. Usando señuelos románticos, imágenes robadas y aplicaciones de chat, los hackers supuestamente estaban vinculados a Hamas.
—
Publicado en cooperación con Newsweek / Published in cooperation with Newsweek
