Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha detectado otra importante campaña de ciberataques en la que se están utilizando mensajes SMS de ingeniería social para atacar a los ciudadanos en Irán. Los SMS fraudulentos se hacen pasar por el Gobierno iraní y atraen a las víctimas para que descarguen aplicaciones Android maliciosas relacionadas con departamentos oficiales iraníes, como los Servicios Judiciales online de Irán. A su vez, estas apps persuaden a sus víctimas para que faciliten datos sensibles: credenciales de tarjetas de crédito y códigos de autenticación de dos factores. A partir de ahí, los atacantes pasan a realizar extracciones no autorizadas de las cuentas de las tarjetas de crédito de las víctimas.
Los ciberdelincuentes están aprovechando de una técnica conocida como botnets de «smishing», en la que los dispositivos comprometidos se usan como bots para difundir SMS de phishing similares a otras víctimas potenciales. Así, los atacantes utilizan varios canales de Telegram para promocionar y vender sus herramientas por entre 50 y 150 dólares, proporcionando un «kit de campaña para Android» completo, que incluye la aplicación maliciosa y la infraestructura subyacente, con un panel de control que puede ser gestionado fácilmente por cualquiera a través de una sencilla interfaz de bot de Telegram.
La información obtenida por Check Point Research llega en medio de importantes ciberataques dirigidos a la población iraní, incluyendo ataques a las gasolineras, ferrocarriles y otros, los cuales se atribuyen a ciberdelincuentes cuya motivación es totalmente económica.
Miles de millones de riales iraníes robados
Los investigadores estiman que se han conseguido comprometer e instalar malware en decenas de miles de dispositivos Android, provocando el robo de miles de millones de riales iraníes a las víctimas, con cifras estimadas de entre 1.000 y 2.000 dólares por usuario. Además, terceros pueden acceder online a los datos robados puesto que no han sido protegidos.
Metodología de los ciberdelincuentes
1. El ataque comienza con un mensaje SMS de phishing. En muchos casos, se trata de un mensaje de un sistema electrónico de notificación judicial que advierte a la víctima que se ha abierto una denuncia en su contra. El SMS incluye el enlace a una página web para el seguimiento de la denuncia.
2. A través de dicha página web se atrae al usuario para que descargue una aplicación Android maliciosa e introduzca los datos de su tarjeta de crédito bajo el pretexto de una pequeña cuota de servicio.
3. Una vez instalada, la App Android maliciosa roba todos los SMS del dispositivo infectado, permitiendo utilizar la tarjeta de crédito con acceso a los SMS 2FA enviados por las compañías de tarjetas de crédito.
4. La aplicación maliciosa comprueba el servidor de C&C controlado por los ciberdelincuentes en busca de nuevos comandos para su ejecución de forma periódica.
El alcance del backdoor de Android incluyen:
1. Robo de SMS: inmediatamente después de la instalación de la app falsa, todos los mensajes SMS de la víctima se suben al servidor del ciberdelincuente.
2. Ocultación para mantener la persistencia: después de enviar la información de la tarjeta de crédito, la aplicación puede ocultar su icono, lo que dificulta su control y desinstalación.
3. Bypass 2FA: al tener acceso tanto a los datos de la tarjeta de crédito como a los SMS en el dispositivo pueden proceder a retiradas no autorizadas de las cuentas bancarias de la víctima, secuestrando la autenticación 2FA (contraseña de un solo uso)
4. Capacidades de botnet: el malware permite ejecutar comandos adicionales en el dispositivo de la víctima, como robar contactos y enviar mensajes SMS.
5. Capacidades de gusano: la aplicación puede enviar SMS a una lista, utilizando un mensaje personalizado y una lista de números de teléfono, ambos recuperados del servidor de C&C. Esto permite distribuir mensajes de phishing desde los números de teléfono de los usuarios típicos en lugar de desde un emplazamiento centralizado y no limitarse a un pequeño conjunto de números de teléfono que podrían ser fácilmente bloqueados. Esto significa que, técnicamente, no hay líneas «maliciosas» que puedan ser bloqueadas por las compañías de telecomunicaciones o rastreadas hasta el ciberdelincuente.
«Estos ataques comenzaron con los ferrocarriles, que rastreamos hasta un grupo llamado Indra. Las amenazas continuaron con las gasolineras, y luego con la compañía nacional de aviación. Ahora, estamos asistiendo a otro ciberataque que demuestra cómo incluso la ciberdelincuencia a secas puede generar titulares y caos, perjudicando a muchos en este país. Aunque no vemos una conexión directa, nuestras últimas investigaciones muestran cómo incluso las menos sofisticadas crean un daño significativo en la población general de Irán. Creemos que la motivación es financiera y son una forma de ciberdelincuencia en estado puro. Sospechamos que los implicados son probablemente del propio Irán”, alerta Alexandra Gofman, jefa del equipo de Inteligencia de Amenazas de Check Point Software. “En concreto, la velocidad y la propagación de estos grupos no tienen precedentes. Es un ejemplo de campaña con éxito monetario dirigida hacia el público en general. La campaña se aprovecha de la ingeniería social y causa importantes pérdidas económicas, a pesar de la baja calidad y la sencillez técnica de sus herramientas. Su éxito se debe a varias razones. En primer lugar, cuando se trata de mensajes gubernamentales de aspecto oficial, los ciudadanos hacen clic en el enlace proporcionado. En segundo lugar, debido a la naturaleza de botnet de estos ataques, en los que cada dispositivo infectado recibe la orden de distribuir más mensajes SMS de phishing, estas campañas se propagan rápidamente a un gran número de víctimas potenciales. Aunque estas campañas específicas están muy extendidas en Irán, pueden tener lugar en cualquier otra parte del mundo. Creo que es importante concienciar sobre los esquemas de ingeniería social que emplean los actores maliciosos”, concluye Gofman.
Consejos de seguridad
· Utilizar las tiendas de aplicaciones oficiales para descargar apps, incluso las recomendadas por sus familiares o sugeridas en las redes sociales.
· Usar la autenticación de dos factores, preferiblemente desde dos dispositivos diferentes.
· Proteger el dispositivo móvil, como quien lo hace con el ordenador portátil.