11 Abr 2017

Pegasus: El último spyware para iOS y Android

Amenazas Noticias Proyectos Especiales

Los usuarios de iPhone y iPad suelen creer que están a salvo. Dicen que no hay malware para iOS. Apple hace poco por desalentar esta impresión (la compañía de la manzana ni siquiera permite soluciones antivirus en su App Store porque, ya sabéis, supuestamente no hacen falta).

La palabra clave aquí es “supuestamente”. De hecho, existe malware que va a por usuarios de iOS (se ha demostrado varias veces y, en agosto de 2016, los investigadores lo volvieron a hacer al revelar la existencia de Pegasus, un spyware capaz de hackear cualquier iPad o iPhone, recolectar información sobre la víctima y establecer una vigilancia).

En nuestro Security Analyst Summit, los investigadores de Lookout revelaron que Pegasus existe no solo para iOS, sino también para Android. La versión de Android es diferente en cierto modo con respecto a su predecesor de iOS. Hablemos de Pegasus y expliquemos por qué usamos la palabra “último” para describirlo.

Pegasus: El origen

Pegasus se descubrió gracias a Ahmed Mansoor, un activista por los derechos humanos de los EAU, que resultó ser una de las víctimas. Se trató de un ataque spear phishing: recibió varios mensajes de texto que contenían lo que creyó que eran enlaces maliciosos, por lo que se los envió a expertos de seguridad de Citizen Lab y estos invitaron a la investigación a la empresa de ciberseguridad Lookout.

Mansoor tenía razón. Si hubiera hecho clic, su iPhone se habría infectado con malware (malware para iOS). Para ser exactos, dispositivos iOS sin jailbreak. Se apodó al malware con el nombre de Pegasus y los investigadores de Lookout lo bautizaron como el ataque más sofisticado que habían visto.

Pegasus ha sido atribuido el grupo NSO, una empresa israelí cuya forma de ganarse la vida es desarrollar spyware, lo que significa que se trata de un malware comercial (se vende a cualquiera que pague por él). En iOS, Pegasus dependía de tres vulnerabilidades (anteriormente desconocidas) de día cero que le permitían hacer jailbreak al teléfono e instalar un software de vigilancia. Otra empresa de ciberseguridad, Zerodium, una vez ofreció 1 millón de dólares por vulnerabilidades en iOS de día cero, por lo que puedes imaginarte la cantidad de dinero que ha costado crear Pegasus.

En lo que respecta a la vigilancia, seamos claros: hablamos de una vigilancia total. Pegasus es un malware modular. Tras analizar el dispositivo de la víctima, instala los módulos necesarios para leer los mensajes y correos del usuario, escucha llamadas, hace capturas de pantalla, registra claves que se introducen, accede al historial del navegador, contactos, etc. Básicamente, puede espiar cualquier aspecto de la vida de la víctima.

También cabe destacar que Pegasus también es capaz de escuchar retransmisiones de audio cifradas y leer mensajes cifrados (gracias a sus capacidades de keylogging y grabación de audio, robaba los mensajes antes de que fueran cifrados y, los entrantes, tras el descifrado).

Otro hecho interesante sobre Pegasus es que intenta ocultarse muy bien. El malware se autodestruye si no es capaz de comunicarse con su servidor de mando y control durante más de 60 días o si detecta que se ha instalado en el dispositivo equivocado con la tarjeta SIM equivocada (recuerda que se trata de espionaje dirigido; los clientes de NSO no iban a por víctimas al azar).

Todos los hermosos caballos

Puede que los desarrolladores de Pegasus pensaran que habían invertido demasiado en este proyecto como para limitarlo a una sola plataforma. Tras el descubrimiento de la primera versión, no paso mucho tiempo hasta encontrar la segunda, y en el Security Analyst Summit 2017, los investigadores de Lookout hablaron sobre Pegasus para Android, también conocido como Chrysaor (así lo llama Google). La versión Android se parece mucho a la hermana de iOS en lo que a sus capacidades se refiere, pero es diferente por las técnicas que emplea para penetrar en el dispositivo.

Pegasus para Android no depende de vulnerabilidades de día cero. En su lugar, utiliza un método muy conocido de root llamado Framaroot. Otra diferencia: si la versión de iOS falla al hacer jailbreak al dispositivo, falla todo el ataque, pero con la versión de Android, aunque el malware no consiga obtener el acceso root necesario para instalar el software de vigilancia, lo intentará pidiéndole los permisos necesarios al usuario para captar alguna información.

Google asegura que solo una docena de dispositivos Android han sido infectados, pero para tratarse de un ataque de ciberespionaje, eso es mucho. La mayoría de instalaciones de Pegasus para Android se observaron en Israel, con Georgia en segundo lugar y México en el tercero. Pegasus para Android también ha sido visto en Turquía, Kenia, Nigeria, EAU u otros países.

Puede que estés a salvo, pero…

Cuando salieron las noticias de la versión de Pegasus para iOS, Apple fue rápida en reaccionar. La empresa lanzó la versión de iOS 9.3.5 que parcheaba las tres vulnerabilidades mencionadas.

Google, que ayudó a investigar el caso de la versión de Android, tomó otro camino y se lo notificó directamente a las víctimas potenciales de Pegasus. Si has actualizado tus dispositivos iOS a la última versión de software y no has recibido ningún aviso de Google, seguramente estés a salvo y no bajo la vigilancia de Pegasus.

Sin embargo, eso no significa que no haya otro spyware desconocido tanto para iOS como para Android. Y la existencia de Pegasus ha demostrado que el malware para iOS es mucho más que adware y webs que piden rescates, los cuales son fáciles de bloquear. Existen amenazas importantes. Tenemos unos consejos para que te mantengas lo más a salvo posible.

  1. Actualiza tus dispositivos a tiempo, sin excepciones, y presta atención a las actualizaciones de seguridad.
  2. Instala una buena solución de seguridad en todos tus dispositivos. No hay ninguna para iOS, pero esperamos que Pegasus haga que Apple se replantee su política.
  3. No caigas en los trucos del phishing, incluso si se trata de spear phishing dirigido como en el caso de Ahmed Mansoor. Si recibes un enlace desde una fuente desconocida, no hagas clic en él. Piénsatelo antes (o, directamente, no hagas clic).