La web de denuncias SecureDrop, perteneciente a The Guardian, estaba redirigiendo a una web phishing que tenía como objetivo robar los codenames de los usuarios. Además, esta web phishing anunciaba una aplicación móvil para Android que permitía a los atacantes realizar diversas actividades maliciosas en los dispositivos de las víctimas.
SecureDrop es un servicio para compartir datos mediante la red TOR, esto permite a los denunciantes enviar información a las empresas de periodismo de forma anónima. Por ejemplo, podemos hacer uso del servicio en la dirección legítima de la web de noticias The Guardian en 33y6fjyhs3phzfjj.onion
Cuando un usuario desea enviar información a los periodistas del medio de comunicación recibe un nombre en clave, codename, que luego se puede utilizar para futuras comunicaciones. Este nombre en clave es privado, ya que cualquiera que lo conozca puede ver las comunicaciones realizadas con los periodistas.
Una vez que los atacantes obtienen los codenames de los usuarios pueden iniciar sesión en la web legítima de SecureDrop y hacerse pasar por la fuente para robar información y comunicaciones.
Poco después de anunciar que había sido descubierto el phishing la web maliciosa fue desactivada. Sin embargo, no se sabe si el sitio fue desconectado por el equipo de seguridad de The Guardian, o por los atacantes.
Aplicación Android maliciosa
Los atacantes estaban anunciando en la web phishing una aplicación Android que permitía a los usuarios «ocultar su ubicación».
Los descubridores del phishing consiguieron descargar el malware y todavía está disponible el enlace para su descarga desde la cuenta de Twitter de Elliot Alderson
Según nos muestra el análisis del APK en VirusTotal podemos ver una larga lista de permisos que asemejan la funcionalidad a la de un RAT. Entre los permisos solicitados encontramos el monitoreo de las llamadas, ubicación, mensajes de texto, grabar audios…
Tras analizar el malware el investigador Lukas Stefanko dijo:
«La aplicación es un malware controlado de forma remota y ejecutará comandos enviados por el servidor. También puede obtener texto de notificaciones, enviar imágenes desde la galería y tomar capturas de pantalla si el dispositivo está rooteado».
Además, se cree que parte de la información robada del dispositivo puede utilizarse para realizar el secuestro de la tarjeta SIM. La aplicación envía la información a un servidor de comando y control con IP 213.188.152.96. Dicha dirección IP ha sido utilizada para distintas campañas de malware.
Más información:
Deja un comentario