Espionaje de terminales móviles, el escándalo Pegasus

Miles de noticias inundan la red en estos últimos días sobre un nuevo spyware denominado Pegasus, desarrollado por la empresa israelí NSO Group, que vendía este software malicioso a diferentes gobiernos para realizar espionaje sobre terminales móviles por la suma de 6 millones de euros.

Pegasus sólo necesita un número de teléfono para funcionar. Es capaz de adentrarse tanto en móviles Android como en iPhone para así obtener la información privada. También tenia soporte para otras plataformas móviles, incluso las antiguas (Symbian, Blackberry, etc).

Pero antes de continuar, debemos tener claro que es un spyware y que más tipos de virus informáticos existen.

Gusano: Este virus está creado con la capacidad de replicarse entre ordenadores. A menudo causa errores en la red, como consecuencia de un consumo anormal del ancho de banda ocasionado por este malware. Los ciberdelincuentes suelen usar nombres llamativos en los enlaces para que este virus sea descargado como, por ejemplo, las palabras: sexo, apuestas, regalo o premio.

Adware: El adware también son denominados como software con publicidad. Los creadores de adware incluyen anuncios o ayudan a distribuir otro software para ganar dinero. Existen en todas las computadoras y dispositivos móviles.

Ramsonware: Este tipo de malware que es mucho más especializado que los anteriores. Amenaza con publicar datos de la víctima o bloquear para siempre el acceso a su ordenador a menos que se pague una suma. De ahí que la traducción del nombre sea secuestro de datos.

Botnet: Son redes de dispositivos infectados que los ciberdelincuentes utilizan para lanzar ataques, como el envío masivo de correos spam, ataques de denegación de servicio o DDoS, robos de credenciales, etc. Una vez que un dispositivo está infectado, entrará a formar parte de la red de botnets cuyo objetivo es seguir expandiéndose.

Rootkit: Este se esconde entre los procesos del sistema y no solo roba información, sino que emplea los recursos de tu equipo para fines maliciosos, como el envío de SPAM o virus. Son muy difíciles de detectar, pues se camuflan en el sistema operativo y pueden pasar desapercibidos incluso para los antivirus.

Troyanos: Un troyano es un tipo de malware que, para lograr infectar un equipo, se camufla como un software legítimo. Una vez activados, los troyanos pueden permitir a los cibercriminales espiarte, robar tus datos confidenciales y obtener acceso por una puerta trasera a tu sistema, conocida como backdoor. Además, son capaces de eliminar archivos, bloquear cuentas, modificar contraseñas e incluso ralentizar el rendimiento de tu equipo.

Y por último Spyware, el tipo de virus que vamos a tratar durante las siguientes líneas y el que da nombre el software Pegasus. Es una clase de malware más especializada, ya que es básicamente un programa espía. Su objetivo es robar toda la información de tu ordenador y hacérsela llegar a su dueño. Es una de las principales vías para el éxito de los delitos informáticos.

Se usan principalmente para robar información y almacenar los movimientos de los usuarios en la web y muestran avisos pop-ups a los usuarios. Algunos spywares son puestos con intención en ordenadores corporativos o públicos para monitorear a los usuarios.

Pueden recolectar data de cualquier tipo, como hábitos de navegación online, contraseñas, información bancaria, entre otros.

Es importante aclarar que, aunque la noticia sobre Pegasus es reciente, este software ya fue detectado en agosto de 2016. Por experiencia y cuando algo es liberado de manera masiva, normalmente es porque el proyecto ya ha muerto y ya se está utilizando una variante de este mucho más avanzada y privada. Que siempre es utilizada por Gobiernos bajo la misma “excusa”; Seguridad Nacional, en resumen, como una herramienta para la lucha contra el terrorismo. 

Pegasus no deja de ser un spyware como muchos otros que existen, pero desarrollado desde una visión para ser comercializado y fácil de usar. Es sencillo llegar al éxito en la infección de una víctima, ya que tiene en cuenta dos puntos muy importantes, que el virus no sea detectado y que propagarlo se realice de una manera sencilla y sin una actuación por parte de la víctima, ya que hace uso de diferentes 0days.

¿Qué es un 0day? Es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que son desconocidas para los usuarios y para el fabricante del producto. Esto supone que aun no hayan sido arregladas.

He podido conseguir el manual de usuario de Pegasus, que podéis descárgalo en el siguiente enlace para conocer más en detalle cómo funciona.

https://anonfiles.com/T2r6Ccdey0/NSO-Pegasus_pdf

Por último, quiero tratar dos puntos importantes, mis conclusiones personales y lo más importante, ¿cómo podemos protegernos? 

Comenzamos por las conclusiones:

  1. El elevado coste producto no es por el spyware en sí, es por la gran recopilación de 0days que se emplean para la infección de terminales con Pegasus.
  2. La facilidad de uso, y que se comercializa como un software llave en mano, la organización NSO Group da formación sobre el uso de la herramienta, ofrece un centro de soporte al usuario. En resumen, lo ofrecen como una solución para “tontos”.
  3. Tiene capacidad de infección por aire (OTA) proximidad o vía BTS.
  4. Solo es necesario escribir el número de teléfono de la víctima y Pegasus se ocupa del resto.
  5. Mínimos rastros (fileless* ejecución RAM), el agente esta incrustado en el kernel, aunque existe IOC dificulta su detección, sabe como transmitir información robada en todo momento sin levantar sospechas.
  6. Anonimato incluido en el C&C del adversario más cifrado AES de 128bits simétrico. 

Y ahora bien, ¿cómo podemos protegernos?

  1. Disponer de un ciclo de rotación de terminales móviles. Siempre previo cambio de credenciales, revisión de iTunes, etc.
  2. Analizar el tráfico de red saliente en busca de conexiones no habituales realizadas por el terminal móvil.
Desde Cluwall podemos ayudarte a proteger tu privacidad a través de nuestros servicios de Inteligencia de Seguridad.

Comentarios