Citizen Lab ha publicado un nuevo informe que destaca el uso generalizado por parte del gobierno del spyware «Predator» del desarrollador Cytrox de Macedonia del Norte.
Los investigadores descubrieron que Predator se usó para atacar a dos personas en junio de 2021. Según Citizen Lab, el spyware «pudo infectar la versión más reciente (14.6) del sistema operativo iOS de Apple usando enlaces de un solo clic enviados a través de WhatsApp», según al Laboratorio Ciudadano.
El investigador principal de Citizen Lab, John Scott-Railton, dijo a MarketingyPublicidad.es que el informe ilustra cómo puede cambiar el malware, pero el abuso continuará.
«En última instancia, es el caso de estudio perfecto que muestra que la industria seguirá alimentando los abusos. E ilustra por qué la aplicación sistemática es tan esencial», dijo Scott-Railton.
Los investigadores agregaron que Predator persiste después de reiniciar usando la función de automatización de iOS. Apple no respondió a las solicitudes de comentarios sobre el software espía, pero Citizen Lab dijo que han sido notificados y están investigando el problema.
Debido a que WhatsApp está involucrado, Citizen Lab también le contó a Meta sobre la acción de Predator. Meta anunció que está tomando medidas coercitivas contra Cytrox y está eliminando aproximadamente 300 cuentas de Facebook e Instagram vinculadas a la empresa de spyware.
El equipo de seguridad de Meta encontró «una extensa lista de dominios similares utilizados como parte de la ingeniería social y los ataques de malware».
«El informe Meta establece que creen que los clientes de Cytrox incluyen entidades en Egipto, Armenia, Grecia, Arabia Saudita, Omán, Colombia, Costa de Marfil, Vietnam, Filipinas y Alemania y que identificaron una orientación abusiva adicional iniciada por los clientes de Cytrox en todo el mundo. mundo», explicó Citizen Lab.
Meta también eliminó cuentas vinculadas a otras seis empresas de vigilancia cibernética, incluidas Cobwebs Technologies, Cognyte, Black Cube, Bluehawk CI, BellTroX y una empresa no identificada de China. El informe de Meta dice que las empresas crearon más de 1500 cuentas falsas dirigidas a 50 000 usuarios en al menos 100 países.
El político egipcio exiliado Ayman Nour fue uno de los dos que tenían dispositivos infectados con Predator, y Citizen Lab notó que su teléfono también estaba infectado con Pegasus, el software espía que acapara los titulares de la empresa de software espía con problemas NSO Group. Citizen Lab dijo que dos gobiernos diferentes estaban espiando a Nour al mismo tiempo durante partes de 2021.
Los informes de Citizen Lab sobre Pegasus y NSO Group han causado indignación internacional y han dado lugar a conversaciones globales sobre la proliferación de potentes programas espía. NSO Group fue incluido en la lista negra por el gobierno de EE. UU. el mes pasado y esta semana enfrentó pedidos de sanciones aún más severas.
Cytrox, según el informe, es parte del rival Intellexa de NSO Group, que tiene su sede en la Unión Europea. La compañía fue comprada en 2018 por la firma israelí WiSpear, descubrió Citizen Lab.
A través de la búsqueda de servidores de spyware Predator, los investigadores de Citizen Lab encontraron clientes «probables» en Armenia, Egipto, Grecia, Indonesia, Madagascar, Omán, Arabia Saudita y Serbia.
«Confirmamos la piratería de los dispositivos de dos personas con el software espía Predator de Cytrox: Ayman Nour, un miembro de la oposición política egipcia que vive en el exilio en Turquía, y un periodista exiliado egipcio que presenta un popular programa de noticias y desea permanecer en el anonimato». explicó Citizen Lab.
“Nour empezó a sospechar por primera vez después de observar que su iPhone se estaba ‘calentando’. Nos enteramos del caso de Nour y revisamos los registros de su teléfono. Atribuimos los ataques a los dos objetivos al gobierno egipcio con un nivel de confianza medio-alto. Realizamos un escaneo que identificó al gobierno egipcio como cliente de Cytrox Predator, sitios web utilizados en los hackeos de los dos objetivos tenían temas egipcios, y los mensajes que iniciaron el hackeo se enviaron desde números de WhatsApp egipcios».
La investigación adicional del teléfono de Nour reveló que había sido pirateado con Pegasus en marzo de 2021, y hubo otro intento de piratear su teléfono en junio de 2021 utilizando el exploit FORCEDENTRY de NSO Group.
«Este informe es la primera investigación que descubre que el spyware mercenario de Cytrox está siendo abusado para atacar a la sociedad civil. NSO Group ha recibido una publicidad desmesurada en los últimos años, gracias a una creciente lista de clientes, problemas de abuso en espiral y un trabajo de investigación innovador por parte de la sociedad civil», dijo Citizen. dijo el laboratorio.
«Cytrox y su software espía Predator, mientras tanto, son relativamente desconocidos. La orientación de un solo individuo con Pegasus y Predator subraya que la práctica de piratear a la sociedad civil trasciende cualquier compañía de software espía mercenaria específica. En cambio, es un patrón que esperamos que persista mientras los gobiernos autocráticos puedan obtener tecnología de piratería informática sofisticada. En ausencia de regulaciones y garantías nacionales e internacionales, los periodistas, los defensores de los derechos humanos y los grupos de oposición seguirán siendo pirateados en el futuro previsible».