Clicky

Meta advierte sobre 8 empresas de software espía dirigidas a dispositivos iOS, Android y Windows

spyware

Entre ellas están las españolas de software espía Variston IT y Mollitiam Industries

Meta Platforms dijo que tomó una serie de medidas para limitar la actividad maliciosa de ocho empresas diferentes con sede en Italia, España y los Emiratos Árabes Unidos (EAU) que operan en la industria de la vigilancia por contrato.

Los hallazgos son parte de su Informe de amenazas adversas para el cuarto trimestre de 2023. El software espía estaba dirigido a dispositivos iOS, Android y Windows.

"Sus diversos programas maliciosos incluían capacidades para recopilar y acceder a información del dispositivo, ubicación, fotos y medios, contactos, calendario, correo electrónico, SMS, redes sociales y aplicaciones de mensajería, y habilitar la funcionalidad de micrófono, cámara y captura de pantalla", dijo la compañía.

Las ocho empresas son Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group y Mollitiam Industries.

Estas empresas, según Meta, también participaron en actividades de scraping, ingeniería social y phishing dirigidas a una amplia gama de plataformas como Facebook, Instagram, X (anteriormente Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch y Telegram.

Específicamente, se dice que una red de personas ficticias vinculadas a RCS Labs, propiedad de Cy4Gate, engañó a los usuarios para que proporcionaran sus números de teléfono y direcciones de correo electrónico, además de hacer clic en enlaces falsos para realizar reconocimientos.

Otro conjunto de cuentas de Facebook e Instagram ahora eliminadas asociadas con el proveedor español de software espía Variston IT se empleó para el desarrollo y prueba de exploits, incluido el intercambio de enlaces maliciosos. La semana pasada, surgieron informes de que la empresa está cerrando sus operaciones.

Meta también dijo que identificó cuentas utilizadas por Negg Group para probar la entrega de su software espía, así como por Mollitiam Industries, una empresa española que anuncia un servicio de recopilación de datos y software espía dirigido a Windows, macOS y Android, para extraer información pública.

En otros lugares, el gigante de las redes sociales actuó en redes de China, Myanmar y Ucrania mostrando un comportamiento no auténtico coordinado (CIB) al eliminar más de 2.000 cuentas, páginas y grupos de Facebook e Instagram.

Si bien el grupo chino se dirigió al público estadounidense con contenido relacionado con críticas a la política exterior de Estados Unidos hacia Taiwán e Israel y su apoyo a Ucrania, la red originaria de Myanmar atacó a sus propios residentes con artículos originales que elogiaban al ejército birmano y menospreciaban a las organizaciones étnicas armadas y a los grupos minoritarios.

El tercer grupo se destaca por el uso de páginas y grupos falsos para publicar contenido que apoyaba al político ucraniano Viktor Razvadovskyi, al mismo tiempo que comparte "comentarios de apoyo sobre el gobierno actual y comentarios críticos sobre la oposición" en Kazajstán.

El desarrollo se produce cuando una coalición de gobiernos y empresas de tecnología, incluida Meta, firmaron un acuerdo para frenar el abuso de software espía comercial para cometer abusos contra los derechos humanos.

Como contramedidas, la compañía ha introducido nuevas características como Control Flow Integrity (CFI) habilitado en Messenger para Android y aislamiento de memoria VoIP para WhatsApp en un esfuerzo por dificultar la explotación y reducir la superficie de ataque general.

Dicho esto, la industria de la vigilancia continúa prosperando en innumerables formas inesperadas. El mes pasado, 404 Media, basándose en una investigación previa del Consejo Irlandés para las Libertades Civiles (ICCL) en noviembre de 2023, desenmascaró una herramienta de vigilancia llamada Patternz que aprovecha los datos publicitarios de subastas en tiempo real (RTB) recopilados de aplicaciones populares como 9gag, Truecaller y Kik para rastrear dispositivos móviles.

"Patternz permite a las agencias de seguridad nacional utilizar datos históricos y en tiempo real generados por publicidad de los usuarios para detectar, monitorear y predecir las acciones de los usuarios, las amenazas a la seguridad y las anomalías basadas en el comportamiento de los usuarios, patrones de ubicación y características de uso móvil, afirmó ISA, la empresa israelí detrás del producto en su sitio web.

Luego, la semana pasada, Enea desveló un ataque de red móvil previamente desconocido conocido como MMS Fingerprint que supuestamente fue utilizado por NSO Group, fabricante de PegasusPegasus. Esta información se incluyó en un contrato de 2015 entre la empresa y el regulador de telecomunicaciones de Ghana.

Si bien el método exacto utilizado sigue siendo un misterio, la empresa sueca de seguridad de telecomunicaciones sospecha que probablemente implique el uso de MM1_notification.REQ, un tipo especial de mensaje SMS llamado SMS binario que notifica al dispositivo destinatario de un MMS que está esperando ser recuperado del Centro de servicios de mensajería multimedia (MMSC).

Luego, el MMS se recupera mediante MM1_retrieve.REQ y MM1_retrieve.RES, siendo el primero una solicitud HTTP GET a la dirección URL contenida en el mensaje MM1_notification.REQ.

Lo notable de este enfoque es que la información del dispositivo del usuario, como User-Agent (diferente de una cadena de User-Agent del navegador web) y x-wap-profile está incrustada en la solicitud GET, actuando así como una especie de huella digital.

"El agente de usuario (MMS) es una cadena que normalmente identifica el sistema operativo y el dispositivo", dijo Enea. "x-wap-profile apunta a un archivo UAProf (Perfil de agente de usuario) que describe las capacidades de un teléfono móvil".

Un actor de amenazas que busque implementar software espía podría utilizar esta información para explotar vulnerabilidades específicas, adaptar sus cargas maliciosas al dispositivo objetivo o incluso diseñar campañas de phishing más efectivas. Dicho esto, no hay evidencia de que este agujero de seguridad haya sido explotado en la naturaleza en los últimos meses.

Jesus_Caceres