Destapan una campaña de espionaje a través de Telegram que llevaba 6 años activa
Sus autores se apoyaban en diferentes vectores de ataque, como el phishing, documentos con malware o aplicación maliciosas.
Una campaña de vigilancia que se ha sostenido desde el año 2014 a través de Telegram acaba de ser descubierta por la compañía de seguridad Check Point.
Según revela esta compañía, la campaña está administrada por entidades iraníes y se dirige a organizaciones opositoras y movimientos frente al régimen del país como Mujahedin-e Khalq, la Organización Nacional de Resistencia de Azerbaiyán y ciudadanos de Baluchistán.
“Nuestra investigación nos ha permitido percatarnos de varias cosas interesantes. Primero, hay un llamativo interés en poder espiar a través de servicios de mensajería instantánea”, indica Lotem Finkelsteen, director de Inteligencia de Amenazas en Check Point. “Aunque Telegram no se puede descifrar, es claramente susceptible de secuestro, por lo que todos los usuarios de estas u otras aplicaciones similares deben ser conscientes de los riesgos que entraña su uso”.
“En segundo lugar”, observa Finkelsteen, “los ataques de phishing a móviles, ordenadores y páginas web pueden estar conectados dentro de la misma operación. Es decir, se gestionan de acuerdo con la inteligencia y los intereses nacionales, en contraposición a los desafíos tecnológicos”, comenta este experto.
Para llevar a cabo el espionaje, los autores de la campaña se han estado apoyando en diferentes vectores de ataque, empezando por el phishing. Esta técnica ha permitido amenazar por mensaje con el cierre de cuentas por un supuesto uso indebido del servicio o incitar a la actualización del software por medio de un dominio fraudulento.
Una aplicación de Android, por su parte, se disfrazaba como servicio de ayuda a iraníes en Suecia que querían obtener su permiso de conducir. En realidad, lo que hacía era robar mensajes de texto y de autenticación o realizar grabaciones telefónicas, entre otras maldades.
Los ciberdelincuentes detrás de esta campaña también utilizaron como gancho documentos con malware que les permitían robar información almacenada en el dispositivo infectado y tomar el control. Esta carga maliciosa actuaba tanto contra Telegram Desktop como contra KeePass.