El mundo digital en el que vivimos ofrece muchas ventajas, pero también nos expone a nuevas amenazas. Una de estas es el malware "Unlucky Kamran", una aplicación maliciosa de Android que está espiando a los residentes de habla urdu en la región de Gilgit-Baltistán. En este artículo, exploraremos cómo funciona este malware, sus impactos en los usuarios y cómo podemos protegernos de estas amenazas.
Investigadores de seguridad cibernética han descubierto un ataque de abrevadero en un sitio web de noticias regional que cubre Gilgit-Baltistán, una región en disputa bajo administración paquistaní. Este sitio, en su versión urdu para dispositivos móviles, promueve la descarga directa de la aplicación Android de Hunza News, la cual posee funcionalidades de espionaje. Este software espía, al que denominamos Kamran (un nombre común en Pakistán y otras áreas de habla urdu, y que en farsi significa "afortunado"), se identifica por su paquete com.kamran.hunzanews.
Mientras la versión en inglés del sitio web de Hunza News para móviles no ofrece ninguna descarga de aplicación, la versión urdu sí presenta esta opción de descarga del software espía. Es interesante notar que tanto las versiones de escritorio en inglés como en urdu también promocionan este software espía para Android, aunque no es compatible con sistemas operativos de escritorio.
Te podrá interesar leer: Spyware: ¿Qué es y Cómo Detectarlo?
Al instalarse, esta aplicación maliciosa solicita permisos para acceder a una amplia gama de datos personales. Si se conceden, recopila información sobre contactos, eventos del calendario, registros de llamadas, ubicación, archivos del dispositivo, mensajes SMS, imágenes y más. Dado que esta aplicación nunca ha estado disponible en Google Play y se descarga de una fuente no verificada, los usuarios deben habilitar la opción de instalar aplicaciones de fuentes desconocidas para poder instalarla.
El malware apareció en el sitio web entre el 7 de enero y el 21 de marzo de 2023, y el certificado de desarrollador de la aplicación se emitió el 10 de enero de 2023. Durante este período, se realizaron diversas protestas en Gilgit-Baltistán por motivos como derechos sobre la tierra, problemas fiscales, cortes de energía y reducción en el suministro de trigo subsidiado.
Hunza News, probablemente nombrado por el distrito o valle de Hunza, es un periódico en línea que brinda noticias sobre la región de Gilgit-Baltistán. Esta área, con una población aproximada de 1.5 millones, es conocida por sus impresionantes montañas, incluyendo cinco de los famosos “ochomiles” como el K2, atrayendo a turistas y montañistas de todo el mundo. Recientemente, debido a las protestas de la primavera de 2023 y otras previstas para septiembre del mismo año, países como EE. UU., Canadá y Alemania han emitido avisos de viaje, recomendando a los turistas mantenerse informados sobre la situación.
El sitio web de Hunza News, disponible en inglés y urdu, fue lanzado el 22 de mayo de 2017 (hunzanews.net). Esta plataforma ha estado activa durante más de una década, inicialmente utilizando también el dominio hunzanews.com desde 2013, según registros de Internet Archive.
Hasta 2022, hunzanews.com ofrecía una aplicación legítima de Android en Google Play. Las versiones lanzadas no contenían funcionalidades maliciosas y se enfocaban en proporcionar contenido de manera accesible para los lectores. A mediados de 2022, hunzanews.net experimentó cambios visuales, incluyendo la eliminación de la opción de descargar la aplicación Android desde Google Play, probablemente debido a incompatibilidades con versiones recientes de Android.
Entre diciembre de 2022 y enero de 2023, no hubo opciones para descargar la aplicación móvil oficial. Sin embargo, desde al menos marzo de 2023, el sitio reintrodujo la opción de descarga de una aplicación de Android, accesible a través de un botón prominente en la página. Un análisis detallado del sitio reveló que, en la versión de escritorio (tanto en inglés como en urdu), se promociona la descarga de una aplicación Android nativa, la cual no es compatible con sistemas de escritorio. En dispositivos móviles, este botón solo es visible en la versión urdu del sitio (urdu.hunzanews.net).
Se deduce que la aplicación maliciosa, denominada Hunza News, está enfocada principalmente en usuarios de habla urdu que acceden al sitio desde dispositivos Android. Esta aplicación espía, a la que nos referimos como Kamran, ha estado disponible en el sitio desde principios de 2023.
Al seleccionar la opción de descarga, se inicia una descarga desde un enlace externo, y para su instalación, se requiere habilitar en Android la opción de instalar aplicaciones de fuentes desconocidas. La investigación sobre esta aplicación maliciosa y su presencia en el sitio web de Hunza News no ha recibido respuesta o comentarios por parte del periódico hasta la fecha de publicación de este análisis. Un estudio reveló que al menos 22 smartphones fueron comprometidos, con cinco de ellos ubicados en Pakistán.
Kamran es un software espía para Android hasta ahora no documentado, distinguido por su código único y diferente de otros programas espías conocidos. Este software espía, identificado como Android/Spy.Kamran, solo se encontró en una versión de una aplicación maliciosa disponible en el sitio web de Hunza News. Aunque no podemos precisar la fecha exacta de su colocación en el sitio, el certificado de desarrollador asociado a la aplicación (SHA-1: DCC1A353A178ABF4F441A5587E15644A388C9D9C) fue emitido el 10 de enero de 2023, proporcionando una posible fecha de inicio para la creación del malware.
En contraste, las versiones legítimas de la aplicación de Hunza News, previamente disponibles en Google Play, estaban firmadas con un certificado diferente (SHA-1: BC2B7C4DF3B895BE4C7378D056792664FCEEC591) y no presentan similitudes de código con la versión maliciosa.
Te podría interesar leer: Análisis de Malware con Wazuh
Al iniciarse, Kamran pide permisos para acceder a una variedad de datos en el dispositivo, incluyendo contactos, eventos de calendario, registros de llamadas, ubicación, archivos, mensajes SMS e imágenes. Además, muestra una interfaz con opciones para visitar las redes sociales de Hunza News y elegir entre inglés o urdu para ver el contenido del sitio web.
Si se otorgan los permisos, Kamran recopila automáticamente datos sensibles del usuario, que incluyen:
Kamran identifica y almacena rutas de archivos de imágenes en una base de datos interna denominada images_db. Los datos recopilados se envían a un servidor de comando y control (C&C) a través de HTTPS, curiosamente utilizando Firebase como plataforma. Este servidor C&C fue reportado a Google.
Es crucial destacar que Kamran carece de funcionalidades de control remoto. La exfiltración de datos solo ocurre cuando el usuario abre la aplicación; no puede ejecutarse en segundo plano. Kamran tampoco rastrea los datos ya extraídos, resultando en la repetida transmisión de los mismos datos, además de cualquier nuevo dato que cumpla con sus criterios.
También podría interesarte leer: Nuevo Malware SprySOCKS Linux vinculado a Ciberespionaje
Kamran es un malware para Android dirigido a hablantes de urdu en Gilgit-Baltistan, distribuido desde al menos 2023 a través de un probable ataque de abrevadero en el sitio web de Hunza News. Su código único impide asociarlo a cualquier grupo conocido de amenazas persistentes avanzadas (APT).
Este caso subraya la importancia de descargar aplicaciones únicamente de fuentes oficiales y confiables para protegerse de amenazas similares.