Tras ser detenido por el Servicio Federal de Seguridad de Rusia (FSB) durante quince días, un programador ruso llamado Kirill Parubets recuperó su teléfono móvil solo para notar algo extraño. Según relató, el dispositivo comenzó a comportarse de manera inusual, y apareció una notificación peculiar que decía: "Sincronización Arm Cortex VX3". Esto despertó sus sospechas de que su teléfono había sido manipulado mientras estaba en manos del FSB.
El arresto de Parubets se dio tras ser acusado de realizar donaciones a Ucrania, un acto que las autoridades rusas consideran controvertido en el contexto actual. Intrigado por los cambios en su dispositivo, decidió enviar el teléfono a Citizen Lab, una reconocida organización especializada en investigar casos de ciberespionaje.
Los análisis forenses realizados por Citizen Lab confirmaron lo que Parubets temía: se había instalado un software espía en su teléfono. Este malware estaba disfrazado como una aplicación legítima y popular de Android llamada 'Cube Call Recorder', una app de grabación de llamadas con más de 10 millones de descargas en Google Play. Este hallazgo no solo confirmó las sospechas del programador, sino que también expuso una técnica avanzada de espionaje digital empleada para monitorear a objetivos específicos.
Pero, a diferencia de la app original, este spyware tiene un acceso descomunal al teléfono. Puede meterse prácticamente en todo: contactos, mensajes, micrófono, cámara y más. En resumen, les da a los atacantes las llaves para monitorear todo lo que haces en tu dispositivo, sin que te des cuenta.
Comparación de permisos (Fuente:Citizen Lab)
Los expertos creen que este malware podría ser una versión actualizada de Monokle, un software espía identificado por primera vez en 2019 y desarrollado por una empresa tecnológica con sede en San Petersburgo. Otra posibilidad es que este spyware sea una herramienta completamente nueva, creada a partir de fragmentos del código original de Monokle.
“Las similitudes en cómo opera, las funciones que tiene y el contexto geopolítico nos hacen pensar que podría tratarse de una versión mejorada de Monokle o un nuevo programa basado en su código”, señalaron los investigadores.
Conoce más sobre: Nuevo Malware DroidBot Ataca 77 Apps Bancarias y de Criptomonedas
El Nuevo Spyware: ¿Cómo funciona y qué puede hacer?
El software espía que se encontró en el teléfono del programador parece estar diseñado para no dejar nada al azar. Usa un proceso de cifrado en dos etapas, similar a la arquitectura de un spyware llamado Monokle descubierto hace algunos años, pero con mejoras importantes, especialmente en su cifrado y los permisos que solicita.
Este malware tiene capacidades extremadamente invasivas, entre ellas:
- Rastrear tu ubicación incluso cuando no estás usando el teléfono.
- Acceder a tus SMS, lista de contactos y calendario.
- Grabar llamadas, lo que haces en pantalla e incluso videos usando la cámara.
- Robar mensajes, archivos, contraseñas y otros datos sensibles.
- Capturar todo lo que escribes mediante un registro de teclas.
- Leer mensajes de apps de mensajería como WhatsApp, Telegram o Signal.
- Instalar apps maliciosas de forma remota (archivos APK).
- Extraer contraseñas guardadas y hasta el código de desbloqueo del teléfono.
- Robar archivos directamente desde el almacenamiento del dispositivo.
La parte más peligrosa del malware se activa en la segunda etapa del proceso, donde incluye archivos cifrados con nombres aleatorios que hacen que sea mucho más difícil de detectar.
¿Solo afecta a Android?
No del todo. Los investigadores encontraron referencias a iOS dentro del código del spyware, lo que sugiere que podría haber una versión diseñada para infectar iPhones en el futuro, si no es que ya existe.
Cambios en los permisos
En comparación con versiones previas de este tipo de spyware, se identificaron nuevos permisos, como 'ACCESS_BACKGROUND_LOCATION', que le permite rastrear tu ubicación constantemente, y 'INSTALL_PACKAGES', que facilita la instalación de apps sin que lo sepas. Por otro lado, algunos permisos como 'USE_FINGERPRINT' y 'SET_WALLPAPER' fueron eliminados, probablemente porque ya no son necesarios para los objetivos del malware.
¿Qué hacer si sospechas que tu teléfono fue manipulado?
- Reemplázalo por otro dispositivo nuevo. Puede ser extremo, pero es la forma más segura de evitar cualquier riesgo.
- Consulta a un experto. Si no puedes cambiar de teléfono, busca ayuda profesional para analizarlo.
- Usa dispositivos "quemadores". Si vives en un país con riesgo de vigilancia gubernamental o arrestos arbitrarios, considera usar un teléfono desechable para tus actividades diarias.
- Activa mecanismos anti-spyware. Por ejemplo, los usuarios de Apple pueden habilitar el "Modo Lockdown" en sus dispositivos.
- Mantén todo actualizado. Tanto el sistema operativo como las apps deben estar siempre en su versión más reciente, ya que los parches de seguridad suelen solucionar vulnerabilidades conocidas.
En resumen, este tipo de spyware es una herramienta extremadamente peligrosa que pone en riesgo tanto la privacidad personal como la seguridad digital. La clave está en ser proactivo, adoptar medidas de prevención y, si es necesario, buscar ayuda profesional. ¡No dejes que estos ataques te tomen desprevenido!
