Kaspersky Lab publicó un informe de investigación en donde mapea una infraestructura internacional masiva utilizada para controlar implantes de malware «Remote Control System» (RCS), e identificó troyanos para móviles que no habían sido descubiertos y que trabajan en ambas plataformas.
Estos módulos son parte de la llamada herramienta de spyware ‘legal’, RCS, también conocida como Galileo, desarrollada por la empresa italiana Hacking Team.
La lista de víctimas indicada en la nueva investigación, llevada a cabo por Kaspersky Lab en conjunto con su socio Citizen Lab, incluye activistas y defensores de los derechos humanos, así como periodistas y políticos.
Durante el análisis más reciente, los investigadores de Kaspersky Lab pudieron mapear la presencia de más de 320 servidores RCS, C&C en más de 40 países. La mayoría de los servidores estaban instalados en los Estados Unidos, Kazajstán, Ecuador, Reino Unido y Canadá.
Vectores de infección
Los operadores de Galileo RCS construyeron un implante malicioso específico para cada objetivo concreto. Una vez que la muestra está lista, el atacante la envía al dispositivo móvil de la víctima. Algunos de los vectores de infección conocidos incluyen «spearphishing» mediante ingeniería social, a menudo en conjunto con «exploits», incluyendo días-cero; e infecciones locales a través de cables USB mientras se sincronizan los dispositivos móviles.
Para evitar riesgos de infección, los expertos de Kaspersky Lab recomiendan que ante todo, no suprima las limitaciones impuestas a través de un jailbreak en su iPhone, y también que constantemente actualice a la última versión del iOS en su dispositivo.
Espionaje personalizado
Los módulos móviles del RCS están meticulosamente diseñados para funcionar de manera discreta, por ejemplo, prestando especial atención a la duración de la batería de los dispositivos móviles.
Esto se lleva a cabo a través de capacidades de espionaje cuidadosamente personalizadas, o disparadores especiales: por ejemplo, una grabación de audio puede iniciar sólo cuando la víctima está conectada a una red Wi-Fi concreta (por ejemplo, la red de una empresa de medios), o cuando la víctima cambie la tarjeta SIM, o mientras el dispositivo se está cargando.
En general, los Troyanos para móviles de RCS son capaces de realizar muchos tipos diferentes de funciones de vigilancia, incluyendo el reporte de la ubicación del objetivo, tomar fotografías, copiar eventos del calendario, registrar nuevas tarjetas SIM que se inserten en el dispositivo infectado, e interceptar llamadas telefónicas y mensajes; estos incluyen mensajes que se envían desde aplicaciones específicas tales como Viber, WhatsApp y Skype, además de los textos SMS normales.
