Gigante tecnológico alerta sobre un malware sofisticado que se propaga a través de proveedores de internet
El gigante tecnológico Google ha detectado una nueva generación de malware muy peligroso, el cual está circulando por Internet. La herramienta identificada como “Ermitaño” o “Hermit” por diversas firmas de ciberseguridad, no se comporta como un esquema promedio para generar dinero fácil.
Según especialistas, como el TAG (Threat Analysis Group o Grupo de Análisis de Amenazas) de Google, este malware, conocido también como spyware, ha sido desarrollado por una organización italiana que tiene por nombre RCS Labs. Esta empresa manifiesta que está del lado correcto de las leyes, pero no cambia el hecho de que su herramienta es usada para violentar la privacidad de los usuarios.
La compañía RCS Labs es una de las múltiples empresas de “interpretación legal” que operan en conjunto con gobiernos y autoridades para recopilar datos. Frecuentemente, esto significa el desarrollo de herramientas sofisticadas de vigilancia, con ayuda de vulnerabilidades de seguridad que no han sido documentadas.
Un ejemplo de esto ha sido NSO Group, quienes utilizaron su herramienta Pegasus para espiar a activistas y periodistas. En esencia, desarrollan e implementan malware con la anuencia de una autoridad del gobierno. En las circunstancias adecuadas, esta actividad podría considerarse como legal, pero las acciones de esta organización están siendo cada vez más vigiladas por empresas y operadores como Lookout y TAG, perteneciente a Google.
Si necesitas herramientas sofisticadas para la detección y respuesta inmediata al malware y a diferentes tipos de ataques, TIC Defense tiene en su centro de desarrollo e investigación múltiples soluciones que se encargan de mantener en óptimas condiciones la infraestructura informática de tu empresa.
En el caso del software Ermitaño, se ha extendido desde Italia a países como Kazajistán. En otros casos, los hackers maliciosos han infectado a sus usuarios objetivos con ayuda de proveedores de servicios de Internet (ISP) locales. En este caso, el ISP cortaría la conexión móvil de un dispositivo y enviaría un mensaje al objetivo junto con un enlace para restaurar la conexión perdida.
Lo que pasa con este mensaje es que el enlace tiene en su haber el software Ermitaño y lo carga en el dispositivo. En el caso de que no hubiese ISP compatible, las investigaciones afirman que RCS Labs disfrazó el malware como una aplicación de mensajería, como WhatsApp, supuestamente. Además, se le acusa de emplear ingeniería social para que el usuario objetivo lograra instalarla.
Este malware nunca se alojó en la Google Play Store o en la Apple App Store, pero esto no pudo impedir que las personas lo instalaran. En los smartphones Android, Ermitaño debe cargarse de forma local con las fuentes desconocidas habilitadas.
Por otro lado, en dispositivos iOS, los desarrolladores utilizaron un certificado legítimo para el programa Apple Developer Enterprise, el cual se encarga de la distribución de apps internas. Estas acciones permitieron que los usuarios instalaran la aplicación fuera de la App Store de forma directa.
Una vez instalada, dicha app aprovechó una serie de fallos para aumentar los privilegios y descargar nuevas funciones para hacerse de todo un dispositivo, además de copiar todos los datos y monitorear la ubicación del usuario de dicho dispositivo.
Ta conocerse este fallo de seguridad, Apple revocó los certificados de desarrollador que se usaron con Ermitaño y Google lanzó una actualización de Play Protect para eliminar el malware efectivamente. Cabe destacar que la empresa RCS Labs ha guardado silencio sobre el asunto, lo cual tiene sentido. Esto se debe a que tiene conexiones algo oscuras con agencias de inteligencia militar de naciones como Siria, Pakistán o Myanmar.
