Nuevo software esp√≠a para iOS y Android dirigido a usuarios en una campa√Īa de extorsi√≥n

Un nuevo software esp√≠a para dispositivos m√≥viles est√° dirigido a usuarios de iOS y Android en lo que parece ser una campa√Īa de extorsi√≥n vinculada a sitios web il√≠citos.

El malware, denominado “Goontact”, puede robar datos como contactos, mensajes de texto SMS, fotos e informaci√≥n de ubicaci√≥n de un iPhone o Android. Actualmente parece estar limitado a pa√≠ses de habla china, Corea y Jap√≥n.

Seg√ļn los investigadores de seguridad de Lookout que lo descubrieron, “Goontact” se dirige a los usuarios que visitan sitios il√≠citos, generalmente aquellos que ofrecen servicios de acompa√Īamiento. El objetivo final parece ser la extorsi√≥n o el chantaje relacionado con los usuarios que visitan o solicitan servicios de esos sitios.

  

La estafa comienza cuando un usuario es atra√≠do a un sitio web que aloja el software esp√≠a. Aunque parecen estar hablando con una escolta, las v√≠ctimas de estafas en realidad se est√°n comunicando con los operadores de “Goontact”, quienes los convencen de que necesitan descargar una aplicaci√≥n en sus dispositivos iOS o Android.

Aunque el software esp√≠a y las estafas similares no son infrecuentes, la parte de la campa√Īa dirigida a los usuarios de iOS no se ha informado anteriormente, dijo Lookout. La versi√≥n de iOS de “Goontact” roba principalmente el n√ļmero de tel√©fono y la lista de contactos de un usuario, aunque las versiones m√°s recientes tambi√©n pueden mostrar un mensaje a la v√≠ctima.

Al igual que otras amenazas de malware de iOS de carga lateral, los operadores de “Goontact” utilizan un Apple certificado de desarrollador empresarial para distribuir el software esp√≠a fuera de la App Store. Todos los certificados utilizados en la campa√Īa de software esp√≠a hacen referencia a lo que parecen ser empresas leg√≠timas, incluidas las cooperativas de cr√©dito y las corporaciones ferroviarias.

No está claro si esas empresas legítimas se han visto comprometidas o si los malos actores se hicieron pasar por representantes de ellas para obtener los certificados.

Durante el curso de la investigaci√≥n de Lookout, el equipo not√≥ la revocaci√≥n de varios certificados. Una vez que lo fueron, aparecieron nuevas identidades en los sitios de distribuci√≥n, lo que indica que los operadores de “Goontact” no tuvieron problemas para obtener nuevos certificados.

Quién está en riesgo y cómo protegerse

“Goontact” no parece haberse extendido m√°s all√° de China, Jap√≥n, Corea, Tailandia y Vietnam todav√≠a, aunque existe la posibilidad de que lo haga o una cepa de software esp√≠a similar.

Los operadores de software esp√≠a conf√≠an en la ingenier√≠a social para convencer a los usuarios de que carguen las aplicaciones maliciosas en los dispositivos. Por eso, si nunca intenta descargar nada, no correr√° ning√ļn riesgo.

En cuanto a las mejores prácticas generales, siempre se recomienda descargar solo aplicaciones a través de la App Store oficial de desarrolladores en los que confíe y mantener actualizado el software de su iPhone, iPad u otro dispositivo.

Actualizar: Apple dijo que ha revocado todos los certificados empresariales utilizados en la estafa hasta el momento, con una excepci√≥n que pertenece a un desarrollador que se vio comprometido. La compa√Ī√≠a dijo que est√° trabajando con ese desarrollador para “revocar de forma segura el certificado antes de fin de semana” y agreg√≥ que “ya ha tomado medidas para bloquear todos los perfiles empresariales maliciosos emitidos para ese certificado”.