Un proveedor de software espía hizo un WhatsApp falso para hackear objetivos

El análisis técnico de Citizen Lab y Motherboard encontró vínculos entre una versión falsa de WhatsApp y Cy4Gate, una empresa de vigilancia italiana que trabaja con policías y agencias de inteligencia (¿Hacking Team 2.0?).

Los piratas informáticos intentaron engañar a los usuarios de iPhone para que instalaran una versión falsa de WhatsApp en un intento potencial de recopilar información sobre ellos. Los análisis técnicos de ambas empresas Citizen Lab y Motherboard sugieren que esta versión falsa de WhatsApp está vinculada a una empresa de vigilancia italiana específica.

La noticia destaca un ataque que a veces se pasa por alto en los iPhones: engañar a los usuarios para que instalen archivos de configuración o los llamados perfiles de administración de dispositivos móviles (MDM), que luego pueden potencialmente enviar malware a un dispositivo objetivo. A medida que el precio de las vulnerabilidades para acceder a iPhones ha aumentado constantemente, otros proveedores de malware gubernamentales se han movido para aprovechar los perfiles MDM para piratear teléfonos.

"Creo que está dirigido, no creo que estuvieran tratando de difundir esto", dijo a Motherboard Bill Marczak, investigador de Citizen Lab, parte de la Escuela Munk de Asuntos Globales de la Universidad de Toronto."

El martes pasado, la empresa de seguridad ZecOps dijo en un tuit que había detectado ataques contra usuarios de WhatsApp. La empresa publicó un dominio específico, config5-dati[.]Com, y una dirección IP que, según dijo, estaba relacionada con los ataques. Luego, Marczak y su compañero investigador de Citizen Lab, Bahr Abdul Razzak, examinaron el dominio y encontraron otros vinculados a él, incluido uno que alojaba un sitio que pretendía ser una página para descargar WhatsApp. En realidad, el sitio intentó engañar a los visitantes para que instalaran lo que en realidad era un archivo de configuración especial para iPhones diseñado para potencialmente recopilar información sobre las víctimas y enviarla de vuelta al atacante, según los investigadores de Citizen Lab.

Utilizando datos de los proveedores de ciberseguridad DomainTools y RiskIQ, Motherboard descubrió de forma independiente múltiples grupos de dominios vinculados a uno compartido públicamente. El dominio config5-dati[.]Com compartió un certificado de cifrado con otros dominios con nombres similares, revelando otros como config4-dati[.]Com, config3-dati[.]Com y config6-dati[.]Com. Citizen Lab buscó otras variaciones numéricas de ese dominio, incluyendo config1-dati[.]Com; Google había conservado un caché de la página de phishing de WhatsApp en ese dominio. 

Pantallazo de la página pishing encontrada por Citizen Lab.

"Para mantenerse en contacto con sus amigos, presione el botón 'descargar' y siga las instrucciones de la página", dice el sitio de phishing en italiano. Luego, la página les indica a los visitantes cómo instalar un archivo de configuración a través del menú de configuración del sistema del iPhone. No es así como los usuarios instalan una versión legítima de WhatsApp: generalmente los usuarios de iPhone la descargan de la App Store de Apple.

Marczak dijo que este archivo envía información al servidor config1-dati, incluido el UDID, o Identificador de dispositivo único asignado a cada dispositivo iOS por Apple; y el IMEI o International Mobile Equipment Identity, otro código único que identifica a los teléfonos móviles.

"El archivo MDM es la primera parte del proceso de instalación de lo que en última instancia probablemente sea una aplicación falsa de WhatsApp que contenga software espía", dijo Marczak.

Los investigadores de Citizen Lab dijeron que no pudieron recopilar datos sobre la siguiente etapa del ataque, lo que significa que no está claro exactamente qué otros datos habrían podido extraer los piratas informáticos de un dispositivo objetivo.

La página de phishing está diseñada para parecerse a un sitio oficial de WhatsApp, con la marca de WhatsApp y gráficos profesionales que describen el proceso de instalación paso a paso. La página de phishing no está actualmente en línea. Citizen Lab compartió una copia del archivo de configuración con Motherboard; cuando se abre, el archivo dice que es de "WhatsApp Inc." para "WhatsApp Messenger".

Cuando se le presentó un resumen de los hallazgos, un portavoz de WhatsApp le dijo a Motherboard: "No pedimos estos privilegios de usuario y la gente debería sospechar mucho de cualquier aplicación que intente hacerlo".

"Para ayudar a mantener seguros los chats, recomendamos que las personas descarguen WhatsApp de la tienda de aplicaciones para la plataforma de su teléfono. Además, podemos prohibir temporalmente a las personas que usan clientes de WhatsApp modificados que detectamos para ayudar a alentar a las personas a descargar WhatsApp de una fuente autorizada", dijo el agregó el portavoz.

"Nos oponemos firmemente al abuso de las empresas de software espía, independientemente de su clientela. Modificar WhatsApp para dañar a otros viola nuestros términos de servicio. Tenemos y seguiremos tomando medidas contra dicho abuso, incluso en los tribunales", dijo el portavoz de WhatsApp. Facebook y WhatsApp están demandando actualmente a otro proveedor de software espía, NSO Group, por presuntamente abusar de la infraestructura de WhatsApp para entregar el malware de NSO a los objetivos.

Motherboard no pudo determinar a quién se dirigía la página falsa de WhatsApp.

Apple no proporcionó una declaración.

Después de investigar el conjunto de dominios, Motherboard encontró un grupo de otros dominios que en un momento compartían una dirección IP con el dominio config5-dati[.]Com, y de allí un tercer conjunto que compartía una dirección IP y seguía convenciones de nombres similares. Uno de ellos, check3[.]It, estaba registrado a nombre de "cy4gate srl", una empresa con domicilio en Roma, Italia, según los registros de WHOIS. La mayoría de los dominios analizados se registraron en Roma según los registros de WHOIS.

Cy4Gate se describe a sí misma como una empresa de "Cyber Electronic Warfare & Intelligence" en su cuenta de Twitter. La compañía desarrolla varios productos, incluido Epeius, su solución para la "intercepción legal", un término de la industria para la piratería y la vigilancia como servicio. En 2017, Cy4gate compareció ante un comité del Senado italiano para presentar sus productos de vigilancia, según un documento publicado en línea. El año pasado, fue noticia por el desarrollo de un producto para rastrear las infecciones de COVID-19, que era parte de una serie de soluciones de rastreo de COVID consideradas en ese momento por el gobierno italiano, que finalmente otorgó la oferta a otra empresa. Cy4gate es parte de los contratistas de defensa en Italia.

Cy4Gate ha hecho negocios recientemente con empresas de alto perfil como Fiat Chrysler y los Emiratos Árabes Unidos, según el material de marketing encontrado en linea por Motherboard. Un informe de los medios italianos dice que Cy4Gate también vendió un producto al ejército estadounidense, aunque especifica que no era el producto Epeius de la compañía. Cy4Gate también ofrece productos de ciberseguridad.

Citizen Lab también encontró que un certificado de cifrado para una dirección IP asociada con el dominio config1-dati[.]Com, que mostraba la página de phishing de WhatsApp, mencionaba "epeius", el producto de interceptación legal de Cy4Gate. La placa base encontró menciones de Epeius en certificados conectados a direcciones IP que también apuntan a más dominios de configuración.

Los investigadores de Citizen Lab también encontraron que el dominio config-1dati[.]Com en algún momento devolvió una página de inicio de sesión con un logotipo de Cy4gate y el nombre Epeius, y compartió una captura de pantalla del portal con Motherboard. La marca coincide con el logotipo de Epeius que se encuentra en el material de marketing de Cy4Gate encontrado en línea por Motherboard.

Un pantallazo del material  EPEIUS encontrado por Motherboard.

"EPEIUS ha sido diseñado para abordar los requisitos de las LEA (Agencias de aplicación de la ley) para pasar de la 'nube' del flujo de datos IP a un enfoque de interceptación activa dirigida directamente en el punto final del objetivo como un teléfono móvil, una tablet o una computadora personal". el folleto encontrado por Motherboard lo dice. El material de marketing agrega que "EPEIUS implementa una serie de técnicas innovadoras para 'infectar' un dispositivo" y que el producto está diseñado para ser configurable según los requisitos de la misión del cliente.

"Ejemplo: si nuestra tarea es la adquisición de geolocalización y correos electrónicos de destino, EPEIUS ejecutará los módulos preestablecidos", agrega el folleto. El material agrega que EPEIUS está diseñado para desviar datos antes de que se cifren y que la recopilación de datos "se implementa a través de conexiones anónimas e imposibles de rastrear". Cy4Gate lanzó el producto Epeius al mercado en 2019, según el folleto.

Cuando Motherboard compartió los datos del dominio con Cy4gate, un portavoz de la compañía dijo en un correo electrónico que los dominios de configuración identificados por los investigadores de Citizen Lab y Motherboard no son atribuibles a la compañía. El portavoz de Cy4Gate confirmó a Motherboard que el dominio check3[.]It pertenecía a la empresa.

Conclusión

Si bien es cierto el ataque de whatsapp descrito anteriormente no es muy efectivo, solo si, el usuario tiene 3 dedos de frente y no descarga whatsapp de medios no oficiales, su dispositivo estará seguro. Pero, ¿tenemos un nuevo Hacking Team 2.0? Si algo en estos 35 años de vida he aprendido, que esto nunca termina, nuevos nombres, nueva gente y al final todo sigue igual.