Desde hace un tiempo, han proliferado una serie de mensajes sms con enlaces que la Citizen Lab de la Universidad de Toronto han identificado como vectores de infección del malware Pegasus, comercializado por la firma NSO Group a los gobiernos del mundo, para labores de espionaje. Algunos enlaces incluso presentan un dominio vinculado con la infraestructura de dicho software malicioso.
Al hacer clic en los mensajes, un programa se instala inadvertidamente en los teléfonos móviles de los objetivos, brindándoles acceso a los atacantes a todos los archivos guardados en el dispositivo, así como capacidades para utilizar la cámara, el micrófono, el GPS, entre otros.
¿Qué es Pegasus y cómo funciona?
La Citizen Lab de la Universidad de Toronto lanzó el informe “The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender”. En dicho documento, los investigadores detallan el funcionamiento de Pegasus y su uso en contra de Ahmed Mansoor, defensor de derechos humanos radicado en los Emiratos Árabes Unidos.
Mansoor es uno de los individuos que recibió mensajes de texto que supuestamente contenían “secretos” sobre los detenidos torturados en las cárceles de EE. UU. Dicha información podía ser consultada al hacer clic en un enlace. En lugar de acceder a la información, Mansoor envió los mensajes de texto al Citizen Lab. Los investigadores reconocieron que los enlaces estaban relacionados con la infraestructura de NSO Group, una empresa de software de espionaje que comercializa Pegasus, un spyware de “intercepción legal” para gobiernos.
Los investigadores del Citizen Lab sospecharon que la infección se daba al hacer clic en el enlace enviado al objetivo, el cual dirigía hacia uno de los dominios de la infraestructura de NSO Group. Para comprobar esta hipótesis, los investigadores utilizaron un iPhone 5 nuevo con la misma versión de sistema operativo que el celular de Mansoor (iOS 9.3.3). Ingresaron manualmente la dirección URL proporcionada a Mansoor en el SMS en el navegador Safari. Al acceder el enlace apareció una página en blanco y, posteriormente, el navegador se cerró. Mientras tanto, descubrieron que un software desconocido fue implantado en el dispositivo.
El Citizen Lab descubrió que Pegasus explotaba una vulnerabilidad de seguridad inédita (zero-day exploit) en el sistema operativo iOS, bautizada como Trident. A través de esta infección se hacía jailbreak al dispositivo y se instalaba un sofisticado software que habría permitido al atacante tomar control de diferentes funciones y acceder a los contenidos del aparato. Entre sus funcionalidades se encuentran el acceso a archivos, datos del calendario, listas de contactos, contraseñas, mensajes de texto, así como información de otras aplicaciones como Gmail, Whatsapp, Skype, Facebook y Telegram. También permitía escuchar llamadas realizadas por teléfono, a través de Whatsapp o Viber y grabar activa o pasivamente utilizando el micrófono y la cámara del dispositivo.
Para que la persona blanco del ataque haga clic en el enlace, el atacante debe asegurarse de engañar al objetivo mediante ingeniería social para aumentar las posibilidades de que los objetivos sean engañados. De acuerdo con los investigadores, los mensajes “deben estar diseñados para aparentar ser urgentes, importantes, molestos o intrigantes para los objetivos”, de modo que sean suficientemente convincentes como para hacer clic en los enlaces. En la infraestructura de NSO Group, los dominios que pertenecen a ésta buscan suplantar a otros sitios legítimos, como medios de comunicación, servicios de telecomunicaciones, redes sociales, portales de gobierno, organizaciones humanitarias, aerolíneas, entre otros.
Los investigadores del Citizen Lab hallaron que, dentro de los dominios identificados dentro de la infraestructura de NSO Group, la mayoría tienen conexiones en México y los Emiratos Árabes Unidos.
Muestras de los mensajes recibidos
Mensaje para Alejandro Calvillo: Alejandro perdon pero acaba de fallecer mi padre, estamos mal, t envio los datos del velatorio, espero asistas: (y aquí viene el enlace malicioso).
Mensaje para el doctor Simón Barquera: eres un pendejo SIMON xq mientras trabajas yo me ando cogiendo a tu vieja y de prueba te mando esta foto (enlace malicioso)
Mensaje para el doctor Simón Barquera: Simon hoy aparece una nota en milenio donde te hacen acusaciones serias de corrupcion. checalas urge desmentir (enlace malicioso)
Link: El espectador
Detectives Privados en Barcelona – Adn Investigació Privada – Detectius Privats a Barcelona