La web de denuncias SecureDrop,
perteneciente a The Guardian, estaba redirigiendo a una web phishing que tenía
como objetivo robar los codenames de los usuarios. Además, esta web phishing
anunciaba una aplicación móvil para Android que permitía a los atacantes
realizar diversas actividades maliciosas en los dispositivos de las víctimas.
SecureDrop es un servicio para
compartir datos mediante la red TOR, esto permite a los denunciantes enviar
información a las empresas de periodismo de forma anónima. Por ejemplo, podemos
hacer uso del servicio en la dirección legítima de la web de noticias The
Guardian
Cuando un usuario desea enviar
información a los periodistas del medio de comunicación recibe un nombre en
clave, codename, que luego se puede utilizar para futuras comunicaciones. Este
nombre en clave es privado, ya que cualquiera que lo conozca puede ver las
comunicaciones realizadas con los periodistas.
Una vez que los atacantes obtienen los
codenames de los usuarios pueden iniciar sesión en la web legítima de
SecureDrop y hacerse pasar por la fuente para robar información y
comunicaciones.
Poco después de anunciar que había
sido descubierto el phishing la web maliciosa fue desactivada. Sin embargo, no
se sabe si el sitio fue desconectado por el equipo de seguridad de The
Guardian, o por los atacantes.
Aplicación Android maliciosa
Los atacantes estaban anunciando en la
web phishing una aplicación Android que permitía a los usuarios «ocultar su
ubicación».
Los descubridores del phishing
consiguieron descargar el malware y todavía está disponible el enlace para su
descarga desde la cuenta de Twitter de Elliot Alderson (https://twitter.com/fs0c131y/status/1172963600010371072
)
Según nos muestra el análisis del APK
en VirusTotal podemos ver una larga lista de permisos que asemejan la funcionalidad
a la de un RAT. Entre los permisos solicitados encontramos el monitoreo de las
llamadas, ubicación, mensajes de texto, grabar audios…
Tras analizar el malware el
investigador Lukas Stefanko dijo:
«La aplicación es un malware
controlado de forma remota y ejecutará comandos enviados por el servidor.
También puede obtener texto de notificaciones, enviar imágenes desde la galería
y tomar capturas de pantalla si el dispositivo está rooteado».
Además, se cree que parte de la
información robada del dispositivo puede utilizarse para realizar el secuestro
de la tarjeta SIM. La aplicación envía la información a un servidor de comando
y control con IP 213.188.152.96. Dicha dirección IP ha sido utilizada para
distintas campañas de malware.
Más información:
Fuente: Hispasec
