El gobierno serbio ha sido acusado de usar fallos de seguridad en los chips Qualcomm para infectar teléfonos Android con un spyware llamado NoviSpy. Este software espía, diseñado para monitorear y controlar dispositivos de forma remota, habría sido utilizado para espiar a activistas, periodistas y manifestantes, según un informe de Amnistía Internacional.
Una de las fallas clave vinculadas a estos ataques es la vulnerabilidad CVE-2024-43047, clasificada como un zero-day y detectada activamente en octubre de 2024 por el equipo de Google Project Zero. Aunque Qualcomm solucionó el problema con un parche lanzado en noviembre, el daño ya estaba hecho: los atacantes lograron explotar la vulnerabilidad antes de que existiera una solución.
El caso salió a la luz cuando el Laboratorio de Seguridad de Amnistía Internacional descubrió NoviSpy en el teléfono de un periodista serbio, Slaviša Milanov. Todo comenzó en febrero de 2024, cuando Slaviša fue detenido por la policía durante un control de tráfico de rutina. Según el informe, los agentes le pidieron que dejara su teléfono en recepción mientras estaba en la comisaría.
Al recuperar el dispositivo, notó comportamientos extraños: los datos móviles y el wifi estaban desactivados sin explicación. Consciente de los riesgos de vigilancia a los que se enfrentan los periodistas en Serbia, Slaviša contactó a Amnistía Internacional para que revisaran su teléfono.
Los análisis realizados revelaron rastros de NoviSpy y, al profundizar, los investigadores de Amnistía compartieron evidencia con el equipo de Google TAG (Threat Analysis Group). Esto permitió identificar fallos en el controlador DSP (Digital Signal Processor) de Qualcomm, específicamente en el módulo ‘adsprpc’, que se utiliza para gestionar el procesamiento multimedia en los dispositivos.
Aunque no está completamente claro cómo NoviSpy aprovecha estas vulnerabilidades, todo apunta a que utiliza una cadena de exploits avanzados para eludir las protecciones de Android y obtener acceso persistente al núcleo del sistema operativo.
Este caso resalta no solo el riesgo que enfrentan los dispositivos Android con chips Qualcomm, sino también la creciente sofisticación de las herramientas de vigilancia utilizadas por gobiernos. ¿Qué tan protegidos estamos realmente frente a estas amenazas?
NoviSpy: Herramienta de espionaje utilizada en Serbia
Un nuevo informe de Amnistía Internacional señala que la Agencia de Información de Seguridad de Serbia (BIA) y la policía del país habrían usado NoviSpy como herramienta de vigilancia, instalándolo en dispositivos Android tras manipularlos físicamente. Según las investigaciones, esto se logró utilizando herramientas de desbloqueo de la empresa Cellebrite, las cuales habrían explotado vulnerabilidades zero-day en los chips Qualcomm para acceder a los teléfonos.
El informe también detalla cómo los investigadores encontraron evidencia forense en dispositivos comprometidos, lo que llevó al descubrimiento de una vulnerabilidad de escalada de privilegios en Android. Esta vulnerabilidad, identificada en colaboración con Google, afecta a millones de dispositivos que utilizan procesadores Qualcomm, poniendo en riesgo la privacidad de usuarios en todo el mundo.
"Mientras investigábamos este caso, encontramos rastros de una vulnerabilidad zero-day que permitía a los atacantes obtener control total de un dispositivo Android. Esta falla afecta a una amplia gama de dispositivos con chipsets Qualcomm populares", señaló Amnistía Internacional en su informe.
Conexión directa con la BIA y objetivos específicos
Uno de los puntos más alarmantes del informe es que el spyware NoviSpy se comunicaba con servidores vinculados directamente a la Agencia de Información de Seguridad de Serbia. Además, los datos de configuración del software contenían detalles que señalaban a una persona asociada con programas previos de adquisición de herramientas de espionaje en el país.
Entre las víctimas identificadas se encuentran periodistas, activistas de derechos humanos y críticos del gobierno serbio. Uno de los casos destacados es el de Slaviša Milanov, periodista y miembro de la ONG Krokodil, cuyo dispositivo fue manipulado tras una detención policial. También se menciona a tres activistas más, aunque Amnistía sospecha que el spyware podría haber sido instalado en decenas, o incluso cientos, de dispositivos Android en Serbia en los últimos años.
Podría interesarte leer: EagleMsgSpy: El Nuevo Spyware Android Utilizado por la Policía China
¿Cómo se llevaron a cabo los ataques?
Según la investigación, muchos de los dispositivos comprometidos mostraban evidencia de un ataque de “cero clic”. Esto significa que los usuarios no tuvieron que interactuar con ningún enlace, archivo o notificación para que sus teléfonos fueran infectados.
Amnistía Internacional explica que los atacantes explotaron funciones de llamadas de Android, como Voice-over-Wifi (VoWiFi) o Voice-over-LTE (VoLTE). Estas funciones, usadas comúnmente para la comunicación mediante redes móviles o wifi, formaron parte de los ataques a través de la tecnología Rich Communication Suite (RCS).
Los investigadores también encontraron que algunos dispositivos recibieron llamadas desde números extraños y con muchos dígitos, lo que pudo haber desencadenado la instalación de NoviSpy. Este tipo de ataque, que aprovecha una vulnerabilidad de Android, no requiere que el usuario responda la llamada ni realice ninguna acción para infectar su dispositivo.
Llamadas sospechosas que podrían haber desencadenado un exploit de clic cero
Google descubre fallos críticos en los chips Qualcomm
Los investigadores del Grupo de Análisis de Amenazas (TAG) de Google, trabajando en colaboración con Amnistía Internacional, descubrieron una serie de vulnerabilidades críticas en el controlador 'adsprpc' de Qualcomm, utilizado en millones de dispositivos Android. Estas vulnerabilidades podrían permitir a los atacantes tomar control del dispositivo, acceder a datos sensibles y ejecutar código malicioso en el núcleo del sistema.
El descubrimiento comenzó cuando Amnistía Internacional compartió con Google registros de pánico del kernel obtenidos de dispositivos comprometidos, lo que permitió a los expertos trabajar en reversa y revelar seis fallos de seguridad en el controlador. Estas vulnerabilidades incluyen problemas como uso después de la liberación (UAF), condiciones de carrera y fugas de información del kernel.
Google identificó seis vulnerabilidades principales, que se desglosan de la siguiente forma:
- CVE-2024-38402: Un error en el manejo de referencias puede llevar a un ataque tipo uso después de la liberación (UAF). Este fallo permite a un atacante ejecutar código arbitrario dentro del núcleo del sistema operativo.
- CVE-2024-21455: Una mala gestión del indicador is_compat permite que punteros controlados por el atacante sean tratados como punteros del núcleo, lo que facilita lecturas y escrituras arbitrarias. Este fallo abre la puerta a una escalada de privilegios.
- CVE-2024-33060: Una condición de carrera en la función fastrpc_mmap_create deja al controlador expuesto a vulnerabilidades UAF, lo que puede causar corrupción de memoria en el núcleo.
- CVE-2024-49848: Un error lógico en la asignación de memoria persistente provoca escenarios UAF, permitiendo que los atacantes mantengan acceso persistente al dispositivo incluso después de reinicios.
- CVE-2024-43047: Un fallo relacionado con asignaciones de memoria superpuestas en fastrpc_mmap genera referencias a objetos corruptas, lo que potencialmente puede resultar en corrupción de memoria.
- No CVE asignado: Una validación inadecuada en fastrpc_mmap_find filtra información sobre el espacio de direcciones del kernel. Esto permite a los atacantes eludir mecanismos de protección como la aleatorización del diseño del espacio de direcciones del kernel (KASLR).
Los investigadores de Google confirmaron que la vulnerabilidad CVE-2024-43047 fue explotada activamente en ataques reales, mientras que sospechan que el resto de las fallas también formaron parte de una cadena de ataques más compleja.
Estas vulnerabilidades permiten a los atacantes no solo sortear las medidas de seguridad de Android, sino también instalar software espía como NoviSpy de forma persistente, accediendo al núcleo del sistema operativo y dejando a las víctimas completamente vulnerables.
El retraso en los parches de seguridad
Aunque Qualcomm ha trabajado en soluciones para la mayoría de las vulnerabilidades, no todos los fallos han sido parcheados en tiempo y forma. Por ejemplo, la falla CVE-2024-49848 sigue sin corregirse al momento de escribir este artículo, a pesar de que Google notificó a Qualcomm del problema hace más de 145 días, superando el plazo estándar de 90 días que suele seguir la industria para aplicar parches.
Un portavoz de Qualcomm respondió afirmando que las correcciones para la mayoría de los problemas fueron entregadas a los fabricantes de dispositivos a partir de septiembre de 2024. Sin embargo, el parche para CVE-2024-49848 aún está en proceso, y se espera que llegue junto con el boletín de seguridad de enero de 2025.
Sobre la vulnerabilidad que no tiene un identificador CVE asignado, Qualcomm aclaró que fue incluida en el parche de CVE-2024-33060, que también fue entregado en septiembre de 2024.
En una respuesta oficial, Qualcomm señaló:
"Desarrollar tecnologías que respalden una sólida seguridad y privacidad es una prioridad para Qualcomm Technologies. Felicitamos a los investigadores de Google Project Zero y al Laboratorio de Seguridad de Amnistía Internacional por sus prácticas de divulgación coordinada. Respecto al controlador FastRPC, las correcciones se han puesto a disposición de nuestros clientes desde septiembre de 2024. Animamos a los usuarios finales a aplicar las actualizaciones de seguridad proporcionadas por los fabricantes de dispositivos tan pronto como estén disponibles."
Podría interesarte leer: Descubren Nuevo Spyware para Android en Teléfono Incautado por el FSB
Conclusión
En resumen, el descubrimiento de estas fallas por parte de Google y Amnistía Internacional deja claro el enorme riesgo al que están expuestos los usuarios de Android. También nos recuerda lo importante que es que las empresas trabajen juntas para resolver estos problemas de seguridad lo más rápido posible.
Con millones de dispositivos en la mira de los atacantes y los parches llegando, a veces, con retraso, está claro que debemos tomarnos en serio la seguridad de nuestros datos y dispositivos. ¿Tu teléfono está al día con las actualizaciones? Si no lo está, este puede ser un buen momento para revisarlo y asegurarte de que estás protegido frente a estas amenazas.
