Uno de los spywares mas peligrosos para Android e iOS fue encontrado desplegándose contra algunos objetivos en más de 45 países alrededor del mundo en estos últimos dos años, según un nuevo reporte del Laboratorio Citizen.
El vendor NSO group, con base en israel, produce y vende una Suite de Spyware para terminales moviles llamado Pegasus. Para poder monitorear un objetivo, lo que hace un gobierno que compra pegasus es poder convencer a la víctima que haga click en urls modificadas para que con esto se ejecuten una cadena de exploit, todos de día cero y así instalarse sin que la víctima se de cuenta.
Posterior a la instalación de este spyware en el terminal movil, este se encarga de conectarse con el C&C para poder ejecutar todas las acciones que el atacante requiera, como información privada, passwords, lista de contactos, eventos del calendario, fotografías, mensajes de texto, ubicacion, etc. logrando también, poder encender el micrófono o la campara para capturar la actividad de las víctimas.
Los enlaces de explotación de Pegasus y los servidores de C & C usan HTTPS, lo que requiere que los operadores registren y mantengan nombres de dominio. Los nombres de dominio para los enlaces de explotación a veces suplantan a los proveedores de telefonía móvil, los servicios en línea, los bancos y los servicios gubernamentales, lo que puede hacer que los enlaces parecen benignos a primera vista. Un operador puede tener varios nombres de dominio que utilizan en los enlaces de explotación que envían, y también tiene varios nombres de dominio que usan para C & C. Los nombres de dominio a menudo se resuelven en servidores privados virtuales basados en la nube (llamamos a estos servidores de aplicaciones para el usuario) alquilados por NSO Group o por el operador. Los servidores de aplicaciones para el usuario parecen reenviar el tráfico (a través de una cadena de otros servidores) a los servidores ubicados en las instalaciones del operador (los llamamos servidores de Pegasus de servicios de fondo).
El informe indica además que, si bien algunos clientes de NSO pueden estar usando Pegasus legalmente, al menos 6 de esos países con operaciones significativas de Pegasus eran "usuarios de spyware conocidos", lo que significa que previamente han sido vinculados al uso abusivo de spyware para atacar a la sociedad civil.
Estos "usuarios de spyware conocidos" incluyen Bahrein, Kazajstán, México, Marruecos, Arabia Saudita y los Emiratos Árabes Unidos.
La lista de países seleccionados por Pegasus incluye a Argelia, Bahrein, Bangladesh, Brasil, Canadá, Costa de Marfil, Egipto, Francia, Grecia, India, Iraq, Israel, Jordania, Kazajstán, Kenia, Kuwait, Kirguistán, Letonia, Líbano, Libia. , México, Marruecos, Países Bajos, Omán, Pakistán, Palestina, Polonia, Qatar, Ruanda, Arabia Saudita, Singapur, Sudáfrica, Suiza, Tayikistán, Tailandia, Togo, Túnez, Turquía, Emiratos Árabes Unidos, Uganda, el Reino Unido, Estados Unidos, Uzbekistán, Yemen y Zambia.
En respuesta al informe de Citizen Lab, un portavoz de NSO Group emitió un comunicado en el que decía que la empresa trabajaba en pleno cumplimiento con todos los países sin infringir ninguna ley, incluidas las normas de control de exportaciones.
"Contrario a las declaraciones hechas por usted, nuestro producto tiene licencia para agencias gubernamentales y policiales con el único propósito de investigar y prevenir el crimen y el terror. Nuestro negocio se lleva a cabo en estricto cumplimiento de las leyes de control de exportación aplicables", dijo el portavoz del Grupo NSO Shalev Hulio Citizen Lab.
"El Comité de Ética Empresarial de NSO, que incluye expertos externos de diversas disciplinas, incluidas las leyes y las relaciones exteriores, revisa y aprueba cada transacción y está autorizado a rechazar acuerdos o cancelar acuerdos existentes cuando hay un caso de uso indebido".
El Grupo NSO dijo además que había algunos problemas con la investigación de Citizen Lab y que la compañía no vendió en muchos de los 45 países enumerados en el informe.
%2014.04.55.png)
