La pesadilla tras Pegasus continúa: detectan un nuevo programa espía que está atacando a usuarios de Android en Oriente Medio

Pegasus es el nombre de uno de los programas espías más conocidos de los últimos años, después de haber extraído información de teléfonos móviles de líderes independentistas catalanes e incluso de miembros del actual Gobierno de España, entre ellos del propio presidente Pedro Sánchez.

Pero como se ha constatado en múltiples ocasiones, esta aplicación desarrollada por la compañía israelí NSO Group no es la única de esa clase. La industria de los programas espías es un mercado que recuerda al armamentístico. Son herramientas que pueden vulnerar múltiples leyes. Pero entre sus clientes hay policías y espías de todo el mundo.

Ahora The Hacker News ha accedido a un informe elaborado por la compañía de ciberseguridad Zimperium, que ha desgranado los detalles sobre cómo funcionauna app de espionaje que ha sido bautizada como RatMilad y que llevaría meses haciendo su singular agosto atacando a empresas de Oriente Medio.

La aplicación se ha logrado distribuir a través de diversos teléfonos mediante enlaces maliciosos compartidos en Telegram o aplicaciones en apariencia inofensivas. La clave de su éxito, destacan los investigadores que citan The Hacker News: incluir el código malicioso en una falsa red virtual privada (VPN), un instrumento muy usado en países de ese entorno por sus límites de conectividad.

Precisamente una de las aplicaciones ofrece a sus usuarios una VPN falsa, y exige a los mismos que verifiquen sus redes sociales, con lo que el código malicioso, ya en ejecución en sus dispositivos, es capaz de recopilar información precisa sobre su ubicación, extraer archivos e incluso encender la cámara para tomar fotos y hacer grabaciones y asociarlos con personas reales.

La industria de los programas espías es más grande de lo que crees: las apps que usas diariamente y pueden ser tan peligrosas como Pegasus

"Una vez instalada y controlada, los atacantes pueden acceder a la cámara para hacer fotos, grabar vídeos y audio, conseguir ubicación precisa de GPS, ver la galería del dispositivo, etc", destaca Nipun Gupta, de Zimperium, en declaraciones al citado medio.

La principal hipótesis es que este RatMilad no ha sido creada por una de las compañías del sector del espionaje informático que tan en boga han estado estos últimos meses: al contrario, los expertos de Zimperium sospechan que los responsables del spyware aprovecharon el código fuente de un grupo de ciberdelincuentes iraníes llamado AppMilad y lo integraron en esas apps fraudulentas.

De esta manera garantizaron su propagación incluso por canales de Telegram: los especialistas han constatado que una de las versiones de estas aplicaciones falsas que han distribuido el programa espía se ha podido ofrecer a más de 4.700 usuarios en canales de Telegram.

"El spyware RatMilad y el grupo de ciberdelincuentes iraníes AppMilad representan un desafío constante para el ecosistema de la seguridad en dispositivos móviles", reconoce Richard Melick, director de inteligencia de amenazas de Zimperium. "Desde Pegasus a PhoneSpy, hay un creciente mercado de programas espías".

Un mercado que crece "a través de fuentes tanto legítimas como ilícitas". Y RatMilad "es sencillamente una mezcla de las dos".