Un grupo de piratas informáticos respaldado por el estado iraní muy ingenioso utiliza enlaces maliciosos a aplicaciones VPN enviadas a través de mensajes de texto SMS para inyectar software espía, informa una empresa de seguridad cibernética.
Mandiant encontró evidencia de que APT42 (amenaza persistente avanzada) ha estado realizando tales ataques contra lo que describieron como «los enemigos del estado iraní» desde 2015, con el objetivo de recopilar datos confidenciales y espiar a las víctimas.
También afirman con «moderada confianza» que el grupo está alineado con el Cuerpo de Inteligencia de la Guardia Revolucionaria Islámica (IRGC-IO), a quien Washington designa como organización terrorista.
Sin embargo, este malware no solo se propaga oculto detrás de la reputación de algunos de los mejores servicios de VPN. También se han empleado correos electrónicos de phishing bien elaborados, páginas web maliciosas para aplicaciones de mensajería gratuitas y sitios solo para adultos.
El malware móvil plantea riesgos preocupantes en el mundo real
Como informa Mandiant (se abre en una pestaña nueva): «El uso de malware de Android para atacar a personas de interés para el gobierno iraní proporciona a APT42 un método productivo para obtener información confidencial sobre objetivos, incluidos movimientos, contactos e información personal.
«La capacidad comprobada del grupo para grabar llamadas telefónicas, activar el micrófono y grabar el audio, filtrar imágenes y tomar fotografías a pedido, leer mensajes SMS y rastrear la ubicación GPS de la víctima en tiempo real representa un riesgo del mundo real para las víctimas individuales de esta campaña».
Los investigadores observaron más de 30 operaciones confirmadas en 14 países de todo el mundo hasta el momento, que abarcan sus siete años de actividad. Sin embargo, creen que el número total es mucho mayor que eso.
Grupos de expertos occidentales, investigadores, periodistas, actuales funcionarios del gobierno occidental, ex funcionarios del gobierno iraní, disidentes y la diáspora iraní en el extranjero se encuentran entre las víctimas de tales ataques.
Mandiant publica hoy detalles sobre el actor iraní APT42. Están llevando a cabo una campaña contra los enemigos del estado iraní. Creemos que están vinculados al IRGC. Esto está completamente separado de las travesuras de Albania. 1/x https://t.co/d4gyQQc88e7 de septiembre de 2022
Operaciones de recopilación y vigilancia de datos
Las campañas de APT42 tienen dos objetivos principales: recopilar datos confidenciales de los objetivos como credenciales de correo electrónico personal, códigos de autenticación de múltiples factores y registros de comunicación privada, mientras rastrea los datos de ubicación de las víctimas para llevar a cabo importantes operaciones de vigilancia.
El astuto libro de jugadas del grupo se está ganando la confianza de los objetivos, entablando conversaciones que incluso pueden durar varias semanas antes de finalmente enviar el correo electrónico de phishing. En un caso, los piratas informáticos se hicieron pasar por periodistas que trabajaban para un famoso medio de comunicación estadounidense durante 37 días antes de lanzar el ataque.
En el caso del malware móvil, APT42 se ha dirigido con éxito a los usuarios de Internet que buscaban herramientas de elusión para eludir las estrictas restricciones gubernamentales. Y, dado que más del 80 % de los iraníes utiliza dicho software para escapar de la censura en línea, la seguridad de los ciudadanos nunca parece haber estado tan en juego.
El informe de Mandiant señaló además cómo el grupo, que se cree que también está relacionado con el infame APT35 que el año pasado logró infiltrarse en Play Store con aplicaciones de VPN falsas, ha sido competente para configurar rápidamente sus estrategias y objetivos para alinearse con los intereses nacionales y geopolíticos de Irán. .
«Evaluamos con gran confianza que APT42 continuará realizando operaciones de vigilancia y espionaje cibernético alineadas con los requisitos de recopilación de inteligencia operativa iraní en evolución».