Tras ser detenido por el Servicio Federal de Seguridad de Rusia (FSB) durante quince días, un programador ruso llamado Kirill Parubets recuperó su teléfono móvil solo para notar algo extraño. Según relató, el dispositivo comenzó a comportarse de manera inusual, y apareció una notificación peculiar que decía: "Sincronización Arm Cortex VX3". Esto despertó sus sospechas de que su teléfono había sido manipulado mientras estaba en manos del FSB.
El arresto de Parubets se dio tras ser acusado de realizar donaciones a Ucrania, un acto que las autoridades rusas consideran controvertido en el contexto actual. Intrigado por los cambios en su dispositivo, decidió enviar el teléfono a Citizen Lab, una reconocida organización especializada en investigar casos de ciberespionaje.
Los análisis forenses realizados por Citizen Lab confirmaron lo que Parubets temía: se había instalado un software espía en su teléfono. Este malware estaba disfrazado como una aplicación legítima y popular de Android llamada 'Cube Call Recorder', una app de grabación de llamadas con más de 10 millones de descargas en Google Play. Este hallazgo no solo confirmó las sospechas del programador, sino que también expuso una técnica avanzada de espionaje digital empleada para monitorear a objetivos específicos.
Pero, a diferencia de la app original, este spyware tiene un acceso descomunal al teléfono. Puede meterse prácticamente en todo: contactos, mensajes, micrófono, cámara y más. En resumen, les da a los atacantes las llaves para monitorear todo lo que haces en tu dispositivo, sin que te des cuenta.
Comparación de permisos (Fuente:Citizen Lab)
Los expertos creen que este malware podría ser una versión actualizada de Monokle, un software espía identificado por primera vez en 2019 y desarrollado por una empresa tecnológica con sede en San Petersburgo. Otra posibilidad es que este spyware sea una herramienta completamente nueva, creada a partir de fragmentos del código original de Monokle.
“Las similitudes en cómo opera, las funciones que tiene y el contexto geopolítico nos hacen pensar que podría tratarse de una versión mejorada de Monokle o un nuevo programa basado en su código”, señalaron los investigadores.
Conoce más sobre: Nuevo Malware DroidBot Ataca 77 Apps Bancarias y de Criptomonedas
El software espía que se encontró en el teléfono del programador parece estar diseñado para no dejar nada al azar. Usa un proceso de cifrado en dos etapas, similar a la arquitectura de un spyware llamado Monokle descubierto hace algunos años, pero con mejoras importantes, especialmente en su cifrado y los permisos que solicita.
Este malware tiene capacidades extremadamente invasivas, entre ellas:
La parte más peligrosa del malware se activa en la segunda etapa del proceso, donde incluye archivos cifrados con nombres aleatorios que hacen que sea mucho más difícil de detectar.
No del todo. Los investigadores encontraron referencias a iOS dentro del código del spyware, lo que sugiere que podría haber una versión diseñada para infectar iPhones en el futuro, si no es que ya existe.
En comparación con versiones previas de este tipo de spyware, se identificaron nuevos permisos, como 'ACCESS_BACKGROUND_LOCATION', que le permite rastrear tu ubicación constantemente, y 'INSTALL_PACKAGES', que facilita la instalación de apps sin que lo sepas. Por otro lado, algunos permisos como 'USE_FINGERPRINT' y 'SET_WALLPAPER' fueron eliminados, probablemente porque ya no son necesarios para los objetivos del malware.
En resumen, este tipo de spyware es una herramienta extremadamente peligrosa que pone en riesgo tanto la privacidad personal como la seguridad digital. La clave está en ser proactivo, adoptar medidas de prevención y, si es necesario, buscar ayuda profesional. ¡No dejes que estos ataques te tomen desprevenido!