Trabajando con la firma de seguridad móvil Lookout, los investigadores descubrieron que el malware en mensajes falsos diseñados para parecerse a WhatsApp y Signal había robado gigabytes de datos. Los objetivos incluían personal militar, activistas, periodistas y abogados. Los investigadores dicen que rastrearon el malware a un edificio del gobierno libanés, la amenaza apodada Dark Caracal por los investigadores, parece que podría provenir de un estado nación y parece usar una infraestructura compartida, vinculada a otros hackers del estado nación. El malware aprovecha las vulnerabilidades conocidas y se dirige especialmente a móviles inteligentes.

Los datos se remontaron a un servidor en un edificio, perteneciente a la Dirección General de Seguridad libanesa en Beirut, según los investigadores ,"Con base en la evidencia disponible, es probable que el GDGS esté asociado o respalde directamente a los actores detrás de Dark Caracal”, dijo el informe.

Amenaza móvil

Dark Caracal ha golpeado a personas en los EE. UU, Canadá, Alemania, Líbano y Francia. Los objetivos incluyen militares importantes, activistas populares, periodistas destacados y abogados reconocidos y los tipos de datos robados abarcan, desde registros de llamadas y grabaciones de audio, hasta documentos y fotos ", dijo la directora de seguridad cibernética EFF, Eva Galperin. "Esta es una campaña global muy grande, enfocada en dispositivos móviles. El móvil es el futuro del espionaje, porque los teléfonos están llenos de tantos datos, sobre la vida cotidiana de una persona" Mike Murray, vicepresidente de inteligencia de seguridad en Lookout, dijo: “Dark Caracal es parte de una tendencia, que hemos visto crecer durante el año pasado, por el cual los actores tradicionalmente avanzados con amenazas persistentes se están moviendo, hacia el uso de dispositivos móviles, como una plataforma objetivo principal".

Mercenarios en línea

En una declaración publicada en el blog de Lookout, Google dijo que confiaba en que las aplicaciones infectadas no se descargarían de su Play Store ."Google identificó las aplicaciones asociadas con este actor, ninguna de las aplicaciones estaba en Play Store y Play Protect se ha actualizado para proteger los dispositivos de usuario de estas aplicaciones y está en el proceso de eliminarlas de todos los dispositivos [VIDEO]afectados". Los investigadores creen que Dark Caracal ha estado operando desde 2012, pero ha sido difícil de seguir, debido a la diversidad de campañas de espionaje, aparentemente no relacionadas que se originan en los mismos nombres de dominio, a lo largo de los años.

El trabajo de Dark Caracal ha sido atribuido erróneamente, repetidas veces a otros grupos de cibercrimen, dijeron los investigadores. En noviembre, Afganistán decidió prohibir WhatsApp y Telegram como una forma de evitar que los grupos insurgentes usen mensajes cifrados. Y en diciembre, Irán se movió para restringir el uso de las aplicaciones, después de una serie de protestas.

El uso de una aplicación, que puede robar datos daría a los estados nación mucha más información que simplemente prohibirlos, dijo el profesor Alan Woodward, un experto en ciberseguridad de la Universidad de Surrey "Siempre es difícil demostrar que un estado nación está involucrado.

Durante la Guerra Fría, los países hicieron uso de los mercenarios y eso es lo que estamos viendo en línea ahora" Dijo que no estaba claro de dónde se habían descargado las aplicaciones infectadas. Pero es difícil saber, de dónde vienen. Puede ser que la gente se deje engañar, por algo que se parece a un sitio oficial [VIDEO]. Las personas deben tener cuidado con lo que están descargando.