Rusia ejecuta un ataque masivo contra las grandes fuentes de comunicación ucraniana
Piratas informáticos estatales rusos atacan Signal, Messenger y WhatsApp para espiar a los funcionarios del país vecino, invadido desde 2022.
Los ejecutores de ataques híbridos conectados con el Estado ruso están intensificando sus esfuerzos para espiar a funcionarios militares y gubernamentales ucranianos. Su herramienta favorita, las aplicaciones de mensajería instantánea supuestamente segura, incluidas Signal, Messenger y WhatsApp.
Según ha desvelado Google y recogen medios especializados como la revista Infosecurity, una de las principales formas en que estos grupos atacan es abusar de la función de "dispositivos vinculados", que permite utilizar la aplicación en varios dispositivos al mismo tiempo, por ejemplo, en un teléfono móvil y en un ordenador, a la vez.
"Dado que vincular un dispositivo adicional generalmente requiere escanear un código QR, los actores de amenazas han recurrido a la creación de códigos QR maliciosos que, cuando se escanean, vincularán la cuenta de una víctima a una instancia de Signal controlada por el actor", explicó Google.
"Si tiene éxito, los mensajes futuros se enviarán de manera sincronizada tanto a la víctima como al actor de la amenaza en tiempo real, lo que proporciona un medio persistente para espiar las conversaciones seguras de la víctima sin la necesidad de comprometer todo el dispositivo", añaden los especialistas.
Estos códigos QR suelen estar camuflados como invitaciones a grupos o instrucciones legítimas de emparejamiento de dispositivos del sitio web correspondiente. En otras ocasiones, están incrustados en páginas de phishing diseñadas para suplantar aplicaciones especializadas utilizadas por las víctimas, como la aplicación Kropyva utilizada por los soldados ucranianos para la orientación de la artillería, continúa el informe.
Google también expone que se ha reclutado a soldados rusos para "vincular las cuentas de Signal en dispositivos capturados en el campo de batalla a la infraestructura controlada por el actor para su posterior explotación".
Aunque Signal ha sido especialmente atacado, el análisis también cita un informe de Microsoft sobre los esfuerzos del grupo Star Blizzard (UNC4057) para comprometer cuentas de WhatsApp, abusando de la función de dispositivos vinculados.
Google advirtió de que la amenaza a las aplicaciones de mensajería segura, en general, se "intensificará" en el futuro cercano. "Si se coloca en un contexto más amplio con otras tendencias en el panorama de amenazas, como la creciente industria del software espía comercial y el aumento de variantes de malware móvil que se utilizan en zonas de conflicto activo, parece haber una demanda clara y creciente de capacidades cibernéticas ofensivas que se puedan utilizar para monitorear las comunicaciones sensibles de personas que dependen de aplicaciones de mensajería segura para proteger su actividad en línea", concluyó.
En su nota, Google instó a los objetivos de alto riesgo (o a cualquier persona interesada en tener más protección) a que hagan lo siguiente:
- Habilita el bloqueo de pantalla en todos los dispositivos móviles utilizando una contraseña larga y compleja con una combinación de letras mayúsculas y minúsculas, números y símbolos
- Instala actualizaciones del sistema operativo sin demora y utiliza siempre la última versión de Signal y otras aplicaciones de mensajería.
- Asegúrate de que Google Play Protect esté habilitado para verificar las aplicaciones y los dispositivos en busca de comportamientos dañinos y emitir advertencias o bloquear aplicaciones que se sabe que exhiben un comportamiento malicioso.
- Audita periódicamente los dispositivos vinculados para detectar dispositivos no autorizados navegando a la sección "Dispositivos vinculados" en la configuración de la aplicación.
- Ten cuidado al interactuar con códigos QR y recursos web que pretenden ser actualizaciones de software, invitaciones a grupos u otras notificaciones.
- Utiliza la autenticación de dos factores, como la huella digital, el reconocimiento facial, una clave de seguridad o un código de un solo uso, para verificar cuándo se inicia sesión en una cuenta o se vincula a un nuevo dispositivo.
- Habilita el modo de bloqueo (en dispositivos iOS).
