Cuando se trata de una vida fácil, los ciberatacantes detrás del temible malware bancario de Anubis se han convertido en grandes fanáticos de Twitter y, cada vez más, de la mensajería segura de Telegram.
No hay nada nuevo en el uso indebido de malware en servicios populares, pero ¿por qué Twitter y Telegram, y es la reciente migración para asegurar los mensajes relevantes?
Como explica SophosLabs, en un nuevo análisis, Anubis toma prestados estos servicios para alojar las instrucciones de comando y control (C2) que busca el malware después de la primera instalación en un sistema.
Twitter es atractivo dado que su popularidad y ubicuidad implica que sus dominios tienen menos probabilidades de ser bloqueados por el filtrado web.
A pesar de esto, SophosLabs ha notado recientemente que Anubis se está moviendo de Twitter para utilizar casi exclusivamente Telegram, lo que a primera vista es algo extraño.
Tal vez la seguridad interna de Twitter ha mejorado atacando al intruso, bloqueando los dominios Anubis tan rápido como se configuran. Los desarrolladores de software malicioso saben que eso va a suceder en algún momento, pero si es en unos minutos o en unas pocas horas, puede ser un inconveniente.
De hecho, Telegram también es bastante bueno en suspender cuentas que abusan de su servicio de esta manera. Sin embargo, escribe el investigador de SophosLabs, Jagadeesh Chandraiah:
Para cuando Telegram elimina la cuenta que se está utilizando para C2, es probable que varias víctimas ya hayan instalado el malware y hayan obtenido su dirección de servidor C2 de la cuenta malévola de Telegram.
El hecho de que Anubis también haya utilizado el uso de caracteres chinos como una forma de ofuscación quizás ofrezca una pista sobre la motivación de los criminales: es un intento de ganar un poco más de tiempo haciendo las cosas más complicadas para los analistas de malware.
Escondiéndose en Telegram
Tal vez los ciberdelincuentes creen que usar Telegram, un servicio que emplea un cifrado de extremo a extremo bien considerado para proteger los mensajes de miradas indiscretas, mantendrá oculto su tráfico.
Si es así, están equivocados. Mientras que los mensajes de Telegram están cifrados, los registros del sistema Android creados por las aplicaciones que encabeza Anubis no lo están. Estos, descubrió SophosLabs, se pueden leer con bastante facilidad.
Eso, podría argumentarse, es un golpe técnico afortunado. Una versión futura podría descubrir una manera de evitar dejar un rastro así, dejando la comunicación C2 lejos del alcance de los investigadores.
Tomar prestada la seguridad para ocultar cosas malas es algo que hemos visto insistentemente en plataformas como Telegram casi desde el principio. Tampoco es la única: WhatsApp, Facebook Messenger y otras también se han visto implicadas en diferentes momentos.
Lo que atrae a los ciberatacantes no es simplemente el cifrado y la automatización de bots de estas plataformas, sino el hecho de que ahora hay muchas para elegir.
La mayoría de los usuarios eligen una plataforma de mensajería porque saben que sus amigos también la usan. Los ciberdelincuentes no tienen tales preocupaciones y pueden migrar de una plataforma a otra para contrarrestar la posibilidad de que los pillen.
Esta es una de las razones por las que se ha solicitado debilitar el cifrado ofrecido por algunas de estas plataformas, pero en el mejor de los casos eso solo haría que los atacantes se trasladaran a nuevas plataformas, o tal vez incluso a crearan una propia.
Después de tres décadas de popularización, el buen cifrado está ahora en camino de convertirse en algo a lo que todos pueden acceder, incluidos los ciberatacantes. Si bien las puertas traseras tienen pocas posibilidades de revertir esta tendencia, la investigación de SophosLabs subraya cómo el dispositivo en sí sigue siendo una gran debilidad.
Las API están al alcance de cualquiera, pero también lo están los dispositivos desde los que deben operar estas aplicaciones seguras.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: