Facebook dijo que ha interrumpido una operación de piratería que utilizó la plataforma de redes sociales para difundir malware de iOS y Android que espiaba a los uigures de la región china de Xinjiang.
El malware para ambos sistemas operativos móviles tenía capacidades avanzadas que podían robar casi cualquier cosa almacenada en un dispositivo infectado. Los piratas informáticos, que los investigadores han vinculado a grupos que trabajan en nombre del gobierno chino, colocaron el malware en sitios web frecuentados por activistas, periodistas y disidentes que originalmente vinieron de Xinjiang y luego se mudaron al extranjero.
“Esta actividad tenía las características de una operación persistente y con buenos recursos, mientras que ocultaba quién está detrás de ella”, escribieron Mike Dvilyanski, jefe de investigaciones de ciberespionaje de Facebook, y Nathaniel Gleicher, jefe de política de seguridad de la empresa, en un correo El miércoles. “En nuestra plataforma, esta campaña de ciberespionaje se manifestó principalmente en el envío de enlaces a sitios web maliciosos en lugar de compartir directamente el malware en sí”.
Infección de iPhones durante años
Los piratas informáticos sembraron sitios web con JavaScript malicioso que podrían infectar subrepticiamente los iPhones de los objetivos con un malware con todas las funciones que Google y la empresa de seguridad Volexity perfilaron en Agosto de 2019
Google dijo que en el momento en que se utilizaron algunos de los exploits, eran días cero, lo que significa que eran muy valiosos porque eran desconocidos para Apple y la mayoría de las organizaciones de todo el mundo. Esos exploits funcionaron contra iPhones con versiones de iOS 10.x, 11.xy 12.0 y 12.1. Más tarde, Volexity encontró exploits que funcionaban contra las versiones 12.3, 12.3.1 y 12.3.2. En conjunto, los exploits dieron a los piratas informáticos la capacidad de infectar dispositivos durante más de dos años. La publicación de Facebook muestra que incluso después de haber sido expuestos por los investigadores, los piratas informáticos se han mantenido activos.
Insomnia tenía la capacidad de extraer datos de una gran cantidad de aplicaciones de iOS, incluidos contactos, GPS e iMessage, así como ofertas de terceros de Signal, WhatsApp, Telegram, Gmail y Hangouts. Para mantener la piratería oculta y evitar que se descubra Insomnia, los exploits se entregaron solo a personas que pasaron ciertos controles, incluidas direcciones IP, OSesd, navegador y configuración de país e idioma. Volexity proporcionó el siguiente diagrama para ilustrar la cadena de exploits que infectó exitosamente los iPhones.
Volexidad
Una red en expansión
Evil Eye usó aplicaciones falsas para infectar teléfonos Android. Algunos sitios imitaban las tiendas de aplicaciones de Android de terceros que publicaban software con temas uigur. Una vez instaladas, las aplicaciones troyanizadas infectaron los dispositivos con una de dos cepas de malware, una conocida como ActionSpy y el otro llamado PluginPhantom.
Facebook también nombró a dos empresas con sede en China que, según dijo, habían desarrollado algunos de los programas maliciosos de Android. “Es probable que estas empresas con sede en China formen parte de una red en expansión de proveedores, con diversos grados de seguridad operativa”, escribieron Dvilyanski y Gleicher de Facebook.
Los funcionarios del gobierno chino han negado rotundamente que participe en campañas de piratería como las informadas por Facebook, Volexity, Google y otras organizaciones.
A menos que tenga una conexión con los disidentes uigures, es poco probable que haya sido blanco de las operaciones identificadas por Facebook y otras organizaciones. Para las personas que desean verificar si hay señales de que sus dispositivos han sido pirateados, la publicación del miércoles proporciona indicadores de compromiso.