Tras los informes de investigadores de seguridad del Citizen Lab de la
Universidad de Toronto, WhatsApp ha corregido una vulnerabilidad Zero-Day que
se utilizaba para instalar el software espía
Graphite de Paragon,
La compañía abordó el vector de ataque a finales del año pasado
«sin necesidad de una solución del lado del cliente… WhatsApp ha
desmantelado una campaña de spyware de Paragon dirigida a varios usuarios,
incluyendo periodistas y miembros de la sociedad civil. Nos hemos puesto en
contacto directamente con las personas que creemos que se vieron
afectadas»,
declaró un portavoz de WhatsApp a BleepingComputer.
El 31 de enero, tras mitigar el exploit de Zero-Click empleado en
estos ataques,
WhatsApp notificó a aproximadamente 90 usuarios de Android
de más de dos docenas de países,
incluyendo periodistas y activistas italianos, que habían sido víctimas del spyware Paragon para recopilar datos
confidenciales e interceptar sus comunicaciones privadas.
Los investigadores descubrieron que los atacantes añadieron a las víctimas a
un grupo de WhatsApp antes de enviarles un PDF. En la siguiente etapa del
ataque, el dispositivo de la víctima procesó automáticamente el PDF,
aprovechando la vulnerabilidad de día cero, ya parcheada, para instalar un
implante de spyware Graphite en WhatsApp.
Posteriormente, el implante comprometió otras aplicaciones en los dispositivos
afectados al eludir el entorno de pruebas de Android. Una vez instalado, el
spyware proporciona a sus operadores acceso a las aplicaciones de mensajería
de las víctimas.
Las infecciones de spyware Graphite pueden detectarse en dispositivos Android
pirateados mediante un artefacto forense (denominado BIGPRETZEL), que analiza
los registros de los dispositivos afectados.
Sin embargo, la falta de evidencia de infección no excluye que los indicadores
forenses se sobrescriban o no se capturen debido a la naturaleza esporádica de
los registros de Android.
Citizen Lab también mapeó la infraestructura de servidores utilizada por
Paragon para implementar los implantes de spyware Graphite en los dispositivos
objetivo, encontrando posibles vínculos con múltiples clientes
gubernamentales, como Australia, Canadá, Chipre, Dinamarca, Israel y Singapur.
A partir del dominio de un único servidor dentro de la infraestructura de
Paragon, los investigadores desarrollaron múltiples huellas digitales que
ayudaron a descubrir 150 certificados digitales vinculados a docenas de
direcciones IP que se cree forman parte de una infraestructura dedicada de
comando y control.
Esta infraestructura incluía servidores en la nube, probablemente alquilados
por Paragon o sus clientes, así como servidores probablemente alojados en las
instalaciones de Paragon y sus clientes gubernamentales, afirmaron los
investigadores.
La infraestructura que encontramos está vinculada a páginas web tituladas
‘Paragon’, devueltas por direcciones IP en Israel (donde Paragon tiene su
sede), así como a un certificado TLS que contiene el nombre de la organización
‘Graphite’, que es el nombre del software espía de Paragon, y el nombre común
‘installerserver’ (Pegasus, un producto espía de la competencia,
utiliza el término ‘Installation Server’ para referirse a un servidor
diseñado para infectar un dispositivo con software espía).
Paragon Solutions Ltd., desarrollador israelí de software espía, fue fundada
en 2019 por Ehud Barak, ex primer ministro israelí, y Ehud Schneorson, ex
comandante de la Unidad 8200 de Israel. El grupo de inversión AE Industrial
Partners, con sede en Florida, adquirió la empresa en diciembre de 2024.
A diferencia de competidores como NSO Group, Paragon afirma que solo vende sus
herramientas de vigilancia a agencias policiales y de inteligencia en países
democráticos que buscan perseguir a delincuentes peligrosos.
En diciembre de 2022, el New York Times informó que la Administración para el
Control de Drogas de Estados Unidos (DEA) utilizó el software espía Graphite
de la empresa. Dos años después, en octubre de 2024, Wired informó que Paragon
firmó un contrato de 2 millones de dólares con el Servicio de Inmigración y
Control de Aduanas de Estados Unidos (ICE).
Fuente: BC