Conoce a Monokle, una Familia de Malware de Android Capaz de Robar y Cambiar Contraseñas
Special Technology Center (STC) es una empresa de desarrollo de software con sede en San Petersburgo, Rusia, y el gobierno estadounidense no ha estado particularmente satisfecho con él. En 2016, Barack Obama impuso sanciones a STC porque su administración creía que era una de las tres compañías que ayudó al gobierno ruso a interferir con las elecciones presidenciales de 2016 en Estados Unidos. Se cree que hay bastantes expertos sofisticados y talentosos que trabajan para STC, y los investigadores de la empresa de seguridad Lookout parecen convencidos de que los mismos expertos son responsables de la creación de una variedad de malware para Android previamente indocumentada llamada Monokle.
Table of Contents
Monokle y la conexión STC
Como veremos en un minuto, Monokle es una pieza de software de vigilancia móvil extremadamente sofisticada y versátil, y debido a que las aplicaciones maliciosas suelen ser desarrolladas por personas que saben lo que están haciendo, y las atribuyen a un grupo específico de piratas informáticos. es casi imposible Los expertos de Lookout piensan, sin embargo, que hay mucha evidencia que vincula a Monokle con STC.
Según el informe técnico de Lookout , STC está en el negocio de desarrollar, entre otras cosas, un conjunto de productos defensivos para dispositivos Android que supuestamente se vende exclusivamente a agencias gubernamentales rusas. La compañía también tiene una aplicación de panel de control llamada Control de aplicaciones a través de la cual se administra el resto de los servicios de STC. Cuando los expertos de Lookout lo examinaron, vieron que App Control está tratando de averiguar si Monokle está instalado en el dispositivo.
Además de esto, uno de los productos más conocidos de STC es una aplicación antivirus de Android llamada Defender. Después de examinar detenidamente la infraestructura de Comando y Control (C&C) de Monokle, el equipo de Lookout se dio cuenta de que parte de ella se superpone con los servidores de back-end que usa Defender. Para colmo, había certificados que también se compartían entre los productos de seguridad de STC y Monokle.
Si los investigadores de Lookout tienen razón, y Monokle fue creado por STC, los desarrolladores no pusieron mucho empeño en ocultar sus huellas, lo cual es extraño teniendo en cuenta el nivel de sofisticación que demuestra el malware.
La versatilidad de Monokle es su característica definitoria.
Monokle puede, entre otras cosas, registrar las pulsaciones del teclado, eliminar y descargar archivos, enviar mensajes, eliminar contactos, información del dispositivo, correos electrónicos, datos de inicio de sesión, listas de aplicaciones instaladas e historial de llamadas y navegación. También puede tomar fotos, videos y capturas de pantalla, y si tiene acceso de root, puede ejecutar comandos.
Todo esto es bastante estándar para este tipo de malware. Sin embargo, Monokle tiene algunos otros trucos bajo la manga que lo hacen destacar entre la multitud. Utiliza los servicios de accesibilidad de Android para capturar y filtrar información de los archivos de Microsoft Office y Google Docs, así como aplicaciones de mensajería instantánea como Whatsapp, Viber, Snapchat, etc. Puede hacer grabaciones de pantalla incluso cuando el dispositivo todavía está bloqueado, lo que significa que puede capturar la contraseña, el código PIN o el patrón utilizado para desbloquear el dispositivo. Una vez que ha capturado el secreto, puede cambiarlo y bloquear a la gente de sus teléfonos o tabletas.
Quizás la característica más avanzada, sin embargo, es la capacidad de instalar certificados confiables en dispositivos comprometidos. Gracias a ello, es posible un ataque Man-in-The-Middle contra el tráfico TLS .
Con todo, Monokle no es algo que quieras tener en tu dispositivo Android. La buena noticia es que es poco probable que la mayoría de ustedes lo encuentren.
Monokle está dirigido a objetivos específicos
La primera muestra de Lookout examinada se remonta a 2015, pero Monokle todavía se usa en ataques hasta el día de hoy. Al igual que con la mayoría de las familias de malware de Android, el vector de infección principal se presenta en forma de aplicaciones troyanas distribuidas en tiendas de aplicaciones de terceros. La mayoría de ellos se hacen pasar por aplicaciones reales, y algunos incluso vienen con una funcionalidad legítima, lo que puede dificultar la detección.
Sobre la base de los títulos y los íconos de las aplicaciones maliciosas, los expertos concluyeron que Monokle se utiliza en ataques altamente dirigidos contra grupos específicos de usuarios. Algunas de las aplicaciones fueron claramente diseñadas para captar la atención de personas asociadas con el grupo militante Ahrar al-Sham en Siria. Otros estaban dirigidos a usuarios ubicados en la antigua república soviética de Uzbekistán, y un tercer grupo se dirigió a personas situadas en la región del Cáucaso de Europa del Este.
Si lo que dicen los expertos de Lookout es cierto, lo más probable es que Monokle sea utilizado por las agencias gubernamentales rusas que están tratando de espiar a individuos en particular. Si su nombre no aparece en algunas listas muy específicas, probablemente no se verá afectado por Monokle. Obviamente, esto no significa que el malware deba ser subestimado.
