Ataque de Malware Similar a Pegasus en Colombia: Usuarios de Tigo, en Riesgo
Mientras el país espera pruebas técnicas que confirmen la presencia del software Pegasus, miles de ciudadanos comunes en Colombia podrían ser víctimas de un ataque digital con capacidades similares al malware israelí.
Ciberdelincuentes tienen una operación activa mediante la cual podrían haber instalado un software que permite acceder remotamente a todas las actividades de la víctima en su celular.
Un analista de ciberseguridad anónimo le contó a MuchoHacker.lol cómo funciona el ataque.
Como parte de la explicación, el analista envió el archivo utilizado, y confirmamos con documentación de investigadores y terceros que se trata de un RAT o herramienta de administración remota (Remote Administration Tool en inglés), un tipo de malware que permite controlar un dispositivo de forma remota. Su nombre es Trojan-Spy.AndroidOS.Spymax.
Al igual que con Pegasus, y según los analistas de seguridad, la víctima de este ataque podrá ser espiada y entregará el control de su celular al atacante. Esta situación pone en riesgo a los clientes de Tigo, quienes son el objetivo de este ataque.
La operación está activa, sin que ninguna autoridad o la compañía afectada tomen las acciones necesarias para detenerla, lo que permite a los atacantes vaciar cuentas bancarias o extorsionar a las víctimas usando archivos de sus celulares.
Cómo ocurre el ataque paso a paso
Paso 1: Creación del dominio falso
Los ciberdelincuentes crean una página web que imita el sitio oficial de Tigo, incluyendo su logo y colores para ganar la confianza de las víctimas.
Paso 2: Envío de mensajes engañosos
Los atacantes envían mensajes de texto, correos electrónicos o realizan llamadas para dirigir a las víctimas al sitio falso.
Paso 3: Descarga del archivo malicioso
La víctima, al confiar en la legitimidad del sitio, descarga un archivo APK que se presenta como una actualización de seguridad o una aplicación de servicio.
Paso 4: Instalación del malware en el dispositivo
Al abrir el archivo APK, la víctima permite que el malware se instale en su dispositivo, otorgando permisos críticos sin saberlo.
Paso 5: Activación de acceso remoto
Una vez instalado, el malware activa el acceso remoto, permitiendo a los atacantes monitorear la actividad y controlar el dispositivo.
Paso 6: Obtención de datos del usuario y control del dispositivo
Los atacantes recopilan datos sensibles como contraseñas, ubicaciones y archivos personales, y pueden controlar el dispositivo para otros ataques.
Te llamamos para hacer una actualización
Aunque no conocemos todos los detalles del modus operandi, sabemos que los atacantes están usando un dominio y una URL que suplanta a Tigo.
El analista de seguridad que detectó el ataque descubrió una URL con las palabras “Tigo”, “servicios móviles” y “5G”. No compartiremos la URL exacta porque es desde allí que se descarga el archivo que infecta dispositivos.
La url que utilizan como parte de su ataque está alojada en un dominio de la empresa Hostinger y está activo desde el pasado 11 de noviembre. Una sencilla denuncia a esta empresa podría desactivar este ataque. No se conoce si existen más dominios y alojamientos relacionados.
Esta es la página web utilizada para el ataque muestra los logos de Tigo, Ruta N y la Alcaldía de Medellín.
Cualquier persona que incluso sepa detectar este tipo de estrategias podría caer en la trampa de descargar el archivo pues son pocos los elementos sospechosos que alertarían.
El 26 de septiembre de 2024 alertamos sobre cómo ciberatacantes están utilizando diversas técnicas para engañar a sus víctimas y lograr la instalación del malware. En esa oportunidad se detectó una comunicación falsa de asesores de Movistar que se comunican para instalar una supuesta actualización. Utilizan ingeniería social, el desconocimiento de la gente y la ausencia de protocolos de seguridad para instalar el archivo.
En este caso no conocemos cómo se pueden estar comunicando con las víctimas, pero lo que sí sabemos es que están usando un archivo APK (archivo para instalar en Android) que comparten mediante la URL detectada. Esto lo podrían estar haciendo, enviando el engaño por mensaje de texto, llamada, correo o incluso presionando mediante llamadas agresivas e insistentes.
Sabemos lo que haces en tu celular
Según una investigación sobre Trojan-Spy.AndroidOS.Spymax publicada en Insinuator este Malware tiene la capacidad de espiar al usuario y controlar el dispositivo atacado.
En la categoría de espionaje es capaz de transmitir video desde las cámaras del teléfono. Es decir, un atacante puede escuchar y ver todo lo que pase en un espacio sin que la víctima se dé cuenta.
Pero no solo esto. El dispositivo afectado puede capturar el audio utilizando el micrófono. Perfectamente puede grabar una reunión y escuchar todo lo que se dice.
Según los expertos analistas que hacen parte de una empresa de ciberseguridad alemana el software permite rastrear la ubicación del usuario y capturar las pulsaciones de teclas y el contenido que se copia y pega en el portapapeles.
Las claves bancarias se entregan al atacante a medida que se pulsan en el teclado y esta podría ser la razón por la cual víctimas de estafas digitales en Colombia no encuentran una explicación al robo en sus cuentas bancarias.
Pero no solo espía. El malware es capaz de controlar el dispositivo de forma remota. Bloquea, modifica, copia y elimina datos. Puede cifrar datos del celular con ransomware, sube y descarga archivos, captura mensajes de textos como los códigos bancarios y es capaz de robar todos los datos de contacto para efectuar más ataques.
Aunque todo esto parece ciencia ficción estaría pasando con posibles clientes de la telefónica Tigo. Es un ataque con las características de Pegasus, pero dirigido a gente del común, que, en las actuales circunstancias de seguridad digital del país, son las personas que menos importan.
Saben si consumes pornografía
Dentro de la explicación que ofreció el analista de seguridad que le mostró a Muchohacker.lol un video de una demostración de cómo opera el malware.
El video, que no compartiremos debido a su contenido sensible, muestra a una persona consumiendo pornografía en su celular con varios datos privados expuestos y vistos desde el centro de comando del RAT. No se pudo verificar con un tercero la autenticidad del video.
“Literalmente el atacante ve lo que la víctima ve en su pantalla”, indica. Según explicó, roban fotos íntimas o amenazan con publicar el historial de navegacion a familiares y amigos para inducir una extorsión.
También, en la demostración se mostró el funcionamiento del panel de control de la aplicación y algunas posibles víctimas en Latinoamérica que podrían estar afectadas.
Según este experto este software se vende en el bajo mundo de Telegram en Colombia. Nos compartió un link en Telegram desde donde se vende el software. Verificamos su existencia y nos abstenemos de publicar evidencias por nuestra propia seguridad.
MuchoHacker.lol se comunicó con la empresa TIGO mediante la red X para conocer la opinión sobre los hechos pero no respondieron.
Pingback: Malware Similar a Pegasus en Colombia: Usuarios de Tigo, Movistar y Claro en Riesgo – MuchoHacker.LOL