Check Point descubre espionaje a disidentes iraníes a través de Telegram

"Hay un llamativo interés en poder espiar a través de servicios de mensajería instantánea", según destaca el director de Inteligencia de Amenazas de la firma de ciberseguridad
Fotografia de archivo la aplicación de mensajería Telegram se muestra en un teléfono inteligente

PHOTO/AP  -   Fotografia de archivo la aplicación de mensajería Telegram se muestra en un teléfono inteligente

Investigadores de Check Point han descubierto una campaña de vigilancia administrada por entidades iraníes contra los disidentes del régimen que lleva en activo seis años. Desde 2014, los ciberdelincuentes detrás de esta campaña están lanzando ataques para espiar a sus víctimas, entre ellos el secuestro de cuentas de Telegram, la extracción de códigos de autenticación de doble factor a través de mensajes SMS, grabaciones telefónicas, el acceso a la información de la cuenta KeePass y la distribución de páginas maliciosas de phishing, utilizando para ello cuentas de servicio de Telegram falsas.

Las víctimas parecen haber sido seleccionadas al azar entre organizaciones opositoras y movimientos de resistencia como Mujahedin-e Khalq, la Organización Nacional de Resistencia de Azerbaiyán, y ciudadanos de Baluchistán.

Documentos maliciosos como gancho

Los cibercriminales utilizaron documentos con malware para atacar a sus víctimas y robar toda la información posible almacenada en el dispositivo infectado. La carga maliciosa tiene como objetivo dos aplicaciones principalmente: Telegram Desktop y KeePass, el famoso almacenamiento de contraseñas. Las principales características del malware incluyen:

  •  Robo de información
  • Subir los archivos de Telegram relevantes del ordenador infectado. Estos archivos permiten tomar el control total de la cuenta de la víctima.
  • Robar información de la aplicación KeePass
  • Subir cualquier archivo que termine con extensiones predefinidas
  • Registrar los datos del ordenador portátil y hacer capturas de pantalla en el escritorio.
  • Persistencia
  • Implementar un mecanismo de persistencia basado en el procedimiento interno de actualización de Telegram.
Aplicación maliciosa de Android

Durante su investigación, los investigadores de Check Point descubrieron una aplicación Android maliciosa vinculada a los mismos cibercriminales. La app se disfrazaba como un servicio para ayudar a iraníes en Suecia a obtener su permiso de conducir. Este backdoor de Android contiene las siguientes características:

  • Robar los mensajes SMS existentes
  • Reenvía los mensajes de autenticación de doble factor a un número de teléfono proporcionado por el servidor C&C controlado por el ciberdelincuente
  • Recuperar información personal como contactos y detalles de las cuentas
  • Iniciar una grabación telefónica
  • Realizar phishing de cuentas de Google
  • Recuperar la información del dispositivo, como las aplicaciones instaladas y los procesos en ejecución
Iraníes muestran sus teléfonos inteligentes usando la aplicación de mensajería Telegram
AFP/ATTA KENARE - Iraníes muestran sus teléfonos inteligentes usando la aplicación de mensajería Telegram

Telegram Phishing

Algunos de los sitios web relacionados con la actividad maliciosa también albergaban páginas de phishing que se hacían pasar por Telegram. Sorprendentemente, varios canales iraníes de esta aplicación emitieron advertencias contra estas páginas, afirmando que el régimen iraní estaba detrás de ellos. También alertaron de que estos mensajes de phishing, en los que amenazaban a su destinatario diciendo que estaban haciendo un uso indebido de sus servicios y que su cuenta se bloquearía si no entraba en el enlace adjunto (phishing), fueron enviados por un bot de Telegram.

Otro de los canales de esta herramienta de mensajería proporcionó capturas de pantalla del intento de phishing que mostraba que los ciberdelincuentes habían creado una cuenta que se hacía pasar por la oficial. Al principio, los atacantes enviaron un mensaje sobre una nueva actualización del Telegram para que pareciera legítima. El mensaje de phishing se envió sólo cinco días después, y apuntaba a un dominio malicioso.

“Nuestra investigación nos ha permitido percatarnos de varias cosas interesantes. Primero, hay un llamativo interés en poder espiar a través de servicios de mensajería instantánea. Aunque Telegram no se puede descifrar, es claramente susceptible de secuestro, por lo que todos los usuarios de estas u otras aplicaciones similares deben ser conscientes de los riesgos que entraña su uso.

En segundo lugar, los ataques de phishing a móviles, ordenadores y páginas web pueden estar conectados dentro de la misma operación. Es decir, se gestionan de acuerdo con la inteligencia y los intereses nacionales, en contraposición a los desafíos tecnológicos. Por este motivo, desde Check Point continuaremos monitorizando diferentes zonas geográficas en todo el mundo para alertar sobre nuevas campañas de ciberamenazas”, destaca Lotem Finkelsteen, director de Inteligencia de Amenazas en Check Point.