Durante meses, los ciberdelincuentes han estado utilizando correos electrónicos, mensajes y software relacionados con el coronavirus para engañar a las personas para que descarguen malware y otros programas maliciosos diseñados para robar información y dañar a las personas.

Kristin Del Rosso y otros investigadores de amenazas de la firma de ciberseguridad Lookout han descubierto un nuevo tipo de ciberataque de coronavirus diseñado para difundir aplicaciones de Android potencialmente maliciosas que parecen ser la herramienta más reciente en una campaña de vigilancia móvil más amplia que opera desde Libia y se dirige a personas libias. .

En una publicación de blog el miércoles, Del Rosso dijo que los investigadores de Lookout descubrieron un software de vigilancia móvil que imita una aplicación COVID-19 con conexiones más profundas a otras 30 aplicaciones que incorporan un kit de spyware "listo para usar" comercializado, lo que le permite rápidamente capitalizar esta crisis.

VER: El coronavirus y su impacto en los negocios (Descarga premium de TechRepublic)

“Esta campaña de vigilancia arroja luz sobre cómo, en tiempos de crisis, nuestra necesidad innata de buscar información puede usarse en nuestra contra con fines maliciosos. Además, la comercialización de kits de spyware 'listos para usar' hace que sea relativamente fácil para estos actores malintencionados lanzar estas campañas personalizadas casi tan rápido como se desencadena una crisis como la del COVID-19”, escribió Del. Rosso.

"Es por eso que, incluso en tiempos de crisis, es importante evitar descargar aplicaciones de tiendas de aplicaciones de terceros y hacer clic en enlaces sospechosos a sitios 'informativos' o aplicaciones enviadas por SMS, especialmente desde un número desconocido", dijo.

La aplicación de Android que encontraron los investigadores de Lookout se llama "corona live 1.1" y, cuando se descarga, solicita acceso a todas las fotos, medios, archivos y ubicaciones del dispositivo del usuario, así como permiso para tomar más fotos y grabar videos.

Según Del Rosso, la aplicación "corona live 1.1" es en realidad una muestra de SpyMax, una versión troyanizada de la aplicación legítima "corona live" que proporciona una interfaz para los datos que se encuentran en el rastreador de coronavirus de Johns Hopkins, que incluye información sobre las tasas de infección. y totales de muertes en cada país.

“SpyMax es una familia de software de monitoreo comercial que parece haber sido desarrollado por los mismos creadores que SpyNote, otro software comercial de monitoreo de Android de bajo costo. SpyMax tiene todas las capacidades de una herramienta de espionaje estándar, y los foros que hacen referencia al malware elogian su 'GUI simple' y su facilidad de uso”, agregó Del Rosso.

"SpyMax le permite al actor acceder a una variedad de datos confidenciales en el teléfono y proporciona una carcasa de terminal y la capacidad de activar de forma remota el micrófono y las cámaras. Aunque esta aplicación 'corona live 1.1' en sí misma, incluso parece esperar más funcionalidad, almacena información de comando y control en recursos/valores/cadenas como es común en los ejemplos de SpyMax y SpyNote, donde contiene la dirección codificada del servidor del atacante", dice.

VER: El coronavirus está teniendo un efecto importante en la industria tecnológica más allá de los retrasos en la cadena de suministro (PDF gratuito) (República Tecnológica)

Los investigadores de Lookout lograron usar esta área para descubrir otros 30 APK que tienen la misma infraestructura básica y son parte de una campaña de vigilancia más grande que comenzó en abril de 2019. Estas aplicaciones son parte de una familia más grande de software de monitoreo comercial que incluye SpyMax, SpyNote, SonicSpy , Sandro Rat y Mobihok.

Au moins trois nouvelles applications liées au coronavirus ont été créées en utilisant la même Infraestructura que ces applications et l'enquête de Lookout a découvert qu'elles pouvaient être retracées jusqu'aux adresses IP exploitées par Libyan Telecom and Technology, un fournisseur de services Internet público general.

“Es probable que la persona o el grupo que lidera la campaña esté en Libia y utilice su propia infraestructura para operar C2, o se aproveche de la infraestructura que han comprometido allí. Como las aplicaciones también están dirigidas específicamente a los usuarios libios, esto parece ser un esfuerzo de vigilancia dirigido a nivel regional”, escribió Del Rosso.

"Si bien los investigadores de Lookout no han visto nada en este momento que indique que se trata de una campaña patrocinada por un estado, en el pasado se ha observado el uso de estas familias de software de vigilancia comercial en el marco de las herramientas utilizadas por los estados nacionales en el Medio Oriente. Aunque los estados nacionales pueden desarrollar y desarrollan sus propias herramientas personalizadas, también se sabe que utilizan herramientas de código abierto y comerciales listas para usar, así como, a veces, malware comercial o de código abierto como punto de partida para desarrollar su propio malware”, dijo. dijo.

Agregó que uno de los aspectos más preocupantes de esta campaña es que el malware utilizado se puede encontrar y comprar con bastante facilidad antes de personalizarlo. Otros investigadores de Lookout han descubierto una serie de conexiones entre estas aplicaciones, identificando que SpyNote y Mobihok tienen costos de licencia bastante bajos e incluso llegan a ofrecer asistencia a los usuarios para configurar sus aplicaciones.

La facilidad de uso y las muchas ofertas de ayuda o soporte hacen probable que otros utilicen estas aplicaciones y las personalicen para sus propios usos.

Desafortunadamente, esta no es la única estafa relacionada con el coronavirus que los ciberdelincuentes están explotando actualmente.

El experto en seguridad de Sophos, Chester Wisniewski, ha escrito otra publicación de blog en la que describe una nueva estafa en la que los ciberdelincuentes se hacen pasar por el nuevo Fondo de Respuesta Solidaria de COVID-19, lo que demuestra cuán inteligentes se han vuelto los ciberdelincuentes para adaptar y actualizar sus métodos de ataque a medida que se desarrollan noticias sobre COVID-19 en tiempo real. .

"Si bien el miedo y el deseo de las personas de hacer algo con respecto al COVID-19 dominan las noticias, los delincuentes en línea también los explotan en todos los sentidos. En primer lugar, Sophos se dio cuenta de que los atacantes de las empresas de phishing estaban utilizando a la Organización Mundial de la Salud (OMS) como Luego, muchas pandillas de malware comenzaron a disfrazar sus productos maliciosos como documentos temáticos de COVID-19. Hoy vemos a los atacantes cibernéticos haciéndose pasar por organizaciones benéficas de la OMS, esta vez el Fondo de Respuesta Solidaria COVID-19 ", dijo Wisniewski.

"Estos correos electrónicos son falsos, pero parecen muy reales y se aprovechan de nuevas organizaciones benéficas que no se conocían hasta hace poco. Nunca antes habíamos visto la naturaleza novedosa de este ataque: hacerse pasar por organizaciones benéficas. caridad alrededor de COVID-19 Siempre que el interés público se vuelve obsesionados con un tema, los estafadores, los spammers y los creadores de malware se aferran a las noticias y están decididos a encontrar una manera de explotar esto. Hemos visto este tipo de actividad en el pasado, pero rara vez todo el mundo está tan concentrado en una cosa, lo que esta oportunidad de desarrollar estafas es demasiado buena para ser verdad para los ciberdelincuentes”, declaró.

Agregó que casi toda la actividad maliciosa en línea que Sophos ve actualmente se ha beneficiado de alguna manera del tema COVID-19/Corona.

Los ciberdelincuentes están inundando las bandejas de entrada con spam y estafas relacionadas con máscaras, remedios de guía falsos para búnkeres a prueba de coronavirus.

Wisniewski dijo que las familias de malware comunes enviadas por correo electrónico como Fareit y Trickbot se envían bajo la apariencia de los Centros para el Control y la Prevención de Enfermedades (CDC) y los correos electrónicos temáticos de la Organización Mundial de la Salud (OMS).

Los piratas informáticos ahora afirman ser organizaciones benéficas asociadas con grupos que ayudan a propagar el coronavirus. Envían correos electrónicos solicitando el pago en Bitcoin y otras criptomonedas buscando robar dinero y permanecer ocultos.

“Ya sea que confíes en tu gobierno o no, los delincuentes te envían correos electrónicos para explotar tu miedo o desconfianza. Seamos claros. Si quiere consejos de personas que realmente saben lo que está pasando, visite el sitio web de la autoridad de salud local o del Departamento de Salud. Marque en su navegador el sitio web *real* de la OMS en https://www.who.int, y si realmente quiere hacer una contribución financiera a quienes nos ayudan a mantenernos seguros en esta lucha, no envíe Bitcoin, sino que vaya a el sitio web oficial del Fondo de Respuesta Solidaria COVID-19 en https://www.covid19responsefund.org/”, dijo Wisniewski.

Imagen: Getty Images