Publicidad de Hacking Team

Publicidad de Hacking Team

Hacking Team utilizaba una app falsa de noticias para infiltrarse en dispositivos Android

Los datos robados de Hacking Team continúan otorgando información sobre las técnicas de infiltración de la compañía italiana. El último hallazgo es una aplicación de noticias falsa disponible para Android, que se utilizó para instalar su herramienta de vigilancia en teléfonos y tabletas con ese sistema operativo.

La aplicación se llama ‘BeNews’, el mismo nombre que un sitio web de noticias que existió entre 1998 y 2002, escribió Wish Wu, ingeniero de respuesta a amenazas móviles de Trend Micro en el blog de la empresa.

Dentro de la aplicación se encuentra insertado un ‘backdoor que parece haber sido utilizado para cargar la versión para Android del Sistema de Control Remoto de Hacking Team (RCS, siglas para ‘Remote Control Sistem’), conocido como Galileo, la herramienta de recolección de datos que la empresa vendió a diferentes organismos de seguridad en todo el mundo.

Ese componente malicioso se aprovecha de una vulnerabilidad de escalamiento local de privilegios, CVE-2014-3153, según detalla Wu. Esta vulnerabilidad es eficaz contra las versiones de Android desde Froyo 2.2 a 4.4.4 KitKat que no tengan parches de seguridad instalados adecuadamente.

"Creemos que Hacking Team proporciona la aplicación a los clientes para ser utilizada como un señuelo para descargar el ‘malware’ RCSAndroid en dispositivos Android del blanco a ser espiado", escribió Wu.

Google escanea su tienda de aplicaciones para aplicaciones potencialmente maliciosas, pero parece que Hacking Team ideó un método para que ‘BeNews’ no fuera clasificada como 'malware' después de ser cargada en la tienda.

Las aplicaciones de Android piden permiso para realizar ciertas actividades. ‘BeNews’ inicialmente pide sólo tres permisos benignos con el fin de evitar ser bloqueada por Google, y ningún código de explotación (o ‘exploit’) se incluye en la aplicación, asegura Wu.

Después de su paso por el proceso de examinación de Google, utiliza un proceso de descarga dinámica para bajar y ejecutar el componente malicioso después que el usuario del teléfono haya descargado la aplicación.

Trend Micro encontró el código fuente de este ‘backdoor’ y del servidor en los más de 400 GB de datos robados a Hacking Team, empresa que durante mucho tiempo había sido criticada por vender sus herramientas de espionaje a países con los prácticas cuestionables en materia de Derechos Humanos y libertades civiles. La empresa de seguridad también encontró instrucciones detalladas destinadas a clientes de Hacking Team, que describen cómo implementar la aplicación maliciosa.

Desde el ‘hackeo’ efectuado a Hacking Team, esta empresa ha indicado que planea desarrollar una nueva versión su RCS que permita a sus clientes reanudar lo que han denominado "las investigaciones criminales y de inteligencia".

La violación de los datos expuestos varias vulnerabilidades de día cero, incluyendo tres en Adobe Systems Flash Player que eran utilizadas por los clientes de Hacking Team para instalar el RCS de la compañía en los dispositivos de sus blancos. Adobe y Microsoft han emitido parches para corregir errores relacionados con el software de Hacking Team, lo que significa que la empresa italiana puede necesitar nuevas vulnerabilidades de día cero para ejecutar la nueva versión.

Detalles sobre el software de Hacking Team

Respecto al tema de vulnerabilidades informáticas y la seguridad de diversos sitemas​, conversamos con Guillermo Saad, CEO de Locknet, empresa se seguridad informática: