Hackers coreanos espían a desertores

Hackers supuestamente vinculados con Corea del Norte utilizan “activamente” programas informáticos maliciosos (malware) para teléfonos móviles con el objetivo de espiar los dispositivos Android utilizados por desertores, reveló la empresa de ciberseguridad McAfee.

Una nueva investigación indica que un grupo de hackers, cuyo nombre clave es “Sun Team”, son los sospechosos de propagar estos programas maliciosos mediante las redes sociales, entre ellas Facebook, mediante el uso de malware para teléfonos móviles con el fin de robar información delicada, como fotos personales, listas de contactos y mensajes de texto. Hasta este momento, se trata de una campaña muy localizada, en la que las aplicaciones hostiles han infectado aproximadamente a 100 víctimas mediante Google Play.

La campaña, que ha sido bautizada como “Red Dawn” (Rojo Amanecer) por McAfee, es la segunda operación ligada al Sun Team que se ha detectado este año. En enero, la empresa descubrió que algunos de los aproximadamente 30,000 desertores que viven en Corea del Sur habían estado en la mira de un plan similar de hackeo vinculado con las operaciones cibernéticas de Corea del Norte a través de una dirección de protocolo de Internet (IP) expuesta y anomalías de lenguaje.

En el hallazgo más reciente, los investigadores de McAfee rastrearon las cuentas de correo electrónico de los hackers y descubrieron que el grupo había cargado tres aplicaciones a la tienda de descargas de Android: “Food Ingredients Info” (Información sobre ingredientes de alimentos), “Fast AppLock” (Bloqueo rápido de aplicaciones) y “AppLockFree” (Bloqueo de aplicaciones gratis). Diseñados como herramientas de reconocimiento, una vez que han realizado la infección, los programas roban información del dispositivo y pueden recibir comandos remotos desde un servidor en la nube, señalan los expertos. La aplicación Food Ingredients Info fue compartida por un perfil falso de Facebook que “pedía opiniones”.

Los datos de las víctimas podían ser extraídos y enviados a cuentas alojadas en Dropbox y Yandex. La empresa de ciberseguridad ha dicho que “los atacantes no son lo suficientemente hábiles para encontrar vulnerabilidades de día cero y escribir sus propias secuencias de comandos para aprovecharlas, sin embargo, probablemente sea solo cuestión de tiempo antes de que comiencen a aprovecharse de esas vulnerabilidades”. Las vulnerabilidades de día cero, que son las más buscadas, buscan atacar fallas y brechas de seguridad desconocidas para todo el mundo, incluso para el desarrollador.

McAfee señaló que los atacantes utilizaron la información robada para propagar el malware. “Lo más preocupante acerca de esta operación del Sun Team es que utilizan fotos subidas a servicios de redes sociales e identidades de ciudadanos de Corea del Sur para crear cuentas falsas”, escribió en su blog Jaewon Min, investigador de tecnología móvil, el 17 de mayo pasado. “Hemos encontrado pruebas de que algunas personas han sufrido el robo de su identidad”.

El investigador añadió que: “En esta campaña de malware se utilizó Facebook para distribuir enlaces a aplicaciones maliciosas etiquetadas como versiones no liberadas. A partir de nuestro análisis, concluimos que el actor detrás de ambas campañas es el Sun Team. Tengan precaución cuando instalen versiones no liberadas o beta de cualquier aplicación. Asimismo, verifiquen el número de descargas para ver si una aplicación ha sido instalada por muchas personas; eviten las aplicaciones poco conocidas”.

Una de las unidades de hackeo más famosas de Corea del Norte es ampliamente conocida entre la comunidad de ciberseguridad como “Grupo Lazarus”. Se le ha vinculado con ataques contra mercados de criptomonedas, contra Sony Pictures y contra el Banco Central de Bangladesh. Muchos analistas han dicho que el código encontrado en WannaCry, un importante ransomware (virus que restringe el acceso a los archivos de un sistema, y que pide un rescate a cambio de liberarlos) que se propagó en todo el mundo el año pasado, está ligado a este oscuro grupo.

Aunque es difícil atribuir la responsabilidad de estos ataques, McAfee piensa que, en este momento, el Sun Team opera independientemente del Grupo Lazarus Group. Informes anteriores han indicado que las unidades de hackeo de Corea del Norte operan desde China. Las aplicaciones de Android descubiertas en la campaña más reciente han sido retiradas por Google.


DineroVer más