Campañas de Espionaje Utilizando Versiones Falsas de Signal y Telegram: Implicaciones y Respuestas

En un reciente estudio, los investigadores de ciberseguridad de ESET han expuesto dos sofisticadas campañas de espionaje que involucraron el uso de versiones falsas de las populares aplicaciones de mensajería segura, Signal y Telegram. Estas campañas tenían como objetivo usuarios de Android en Estados Unidos y Europa, y se cree que el grupo chino GREF está detrás de estas operaciones.

El Modus Operandi de las Campañas de Espionaje

Los atacantes diseñaron versiones falsas de Signal y Telegram, que fueron publicadas en la Google Play Store y la Samsung Galaxy Store. Estas aplicaciones maliciosas, bautizadas como “Signal Plus Messenger” y “FlyGram”, se distribuyeron activamente durante un período de dos años, desde julio de 2020 hasta julio de 2022. Aparentemente legítimas, estas aplicaciones espía lograron atraer a miles de usuarios, en su mayoría de Estados Unidos, varios países de la Unión Europea y Ucrania.

Lukas Stefanko, autor del estudio, detalló que estas aplicaciones fraudulentas ofrecían todas las funciones de sus contrapartes legales, lo que dificultaba que los usuarios pudieran distinguir entre las versiones legítimas y las falsas. Sin embargo, en segundo plano, las aplicaciones maliciosas estaban cargadas con un software espía denominado “BadBazaar”.

Lukas Stefanko

El Propósito de BadBazaar y las Consecuencias del Espionaje

BadBazaar, una vez integrado en las aplicaciones de mensajería, tenía la capacidad de extraer información crucial de los dispositivos comprometidos. Esto incluía datos como la lista de contactos, registros de llamadas, aplicaciones instaladas y, sorprendentemente, incluso los propios chats de los usuarios. Lo más alarmante fue la revelación de que estas aplicaciones falsas establecían conexiones automáticas con servidores de comando y control, marcando un hito en el espionaje a través de Signal.

Mientras que en el caso de Telegram, los atacantes no lograron vincular la aplicación maliciosa FlyGram a las cuentas originales de los usuarios, sí lograron recopilar información valiosa sobre los dispositivos infectados. Aunque no pudieron interceptar los mensajes cifrados, aprovecharon la función de copia de seguridad de Telegram, que algunos usuarios habían activado por su cuenta en FlyGram.

Implicaciones y Respuestas

La exposición de estas campañas de espionaje subraya la continua sofisticación de los ataques cibernéticos dirigidos a plataformas de comunicación segura. Es preocupante observar cómo grupos como GREF emplean tácticas altamente elaboradas para comprometer la privacidad y seguridad de los usuarios.

Aunque Google ha eliminado las aplicaciones falsas de la Play Store, existe la posibilidad de que otras fuentes las sigan alojando. Por lo tanto, los usuarios deben permanecer vigilantes y asegurarse de descargar aplicaciones únicamente de fuentes confiables y verificadas.

La colaboración entre ESET y la Google App Defense Alliance es fundamental para investigar y abordar estos tipos de ataques. La identificación y divulgación de estas campañas ayudan a concienciar a la comunidad sobre las amenazas emergentes y permiten a las empresas de seguridad cibernética y a las plataformas tecnológicas tomar medidas más eficaces para prevenir y mitigar futuros ataques.

En resumen, el descubrimiento de estas campañas de espionaje resalta la importancia de la ciberseguridad en el entorno digital actual. Los usuarios deben ser proactivos en la protección de su privacidad y seguridad, y las industrias deben seguir trabajando juntas para contrarrestar las crecientes amenazas cibernéticas.