IRATA

De CiberWiki


IRATA es un malware específico diseñado para dispositivos Android, caracterizado por sus capacidades de espionaje y robo de información. Su detección se originó tras un ataque de smishing en Irán, donde los usuarios recibían mensajes SMS falsos que dirigían a una página web gubernamental falsa. Esta página incitaba a los visitantes a descargar una aplicación, solicitando un pago por el servicio. IRATA puede crear una botnet a partir de dispositivos infectados y autopropagarse mediante mensajes de texto spam.

El malware tiene la capacidad de recopilar una amplia gama de datos confidenciales, como la lista de aplicaciones instaladas, detalles de la tarjeta SIM, estado de la pantalla de bloqueo, y más. Además, puede probar la conectividad a Internet, ocultar su icono, manipular los ajustes de sonido y recopilar información sobre contactos.

IRATA también realiza ataques de superposición, donde una aplicación legítima se superpone con una página de phishing. Esto le permite capturar información sensible, como credenciales de inicio de sesión y datos de pago. Además, puede interceptar mensajes de texto para obtener códigos de autenticación de dos factores (2FA/MFA) y añadir dispositivos infectados a una red de bots para autopropagarse.

Funcionamiento

El malware IRATA es una amenaza específicamente diseñada para dispositivos Android, caracterizada por su naturaleza multifuncional con capacidades de espionaje, robo de información y autopropagación a través de mensajes de texto spam (smishing). Su detección se produjo en el contexto de un ataque en Irán, donde los atacantes utilizaron técnicas de ingeniería social mediante mensajes SMS falsos para dirigir a los usuarios a una página web gubernamental falsa. Desde esa plataforma, persuadían a los usuarios para que descargaran una aplicación maliciosa, solicitando un pago por el supuesto servicio.

A continuación, se describen las principales funcionalidades técnicas de IRATA:

  1. Capacidades de Recopilación de Datos:
    • IRATA tiene la capacidad de recopilar una amplia variedad de datos confidenciales de los dispositivos infectados. Estos incluyen información sobre aplicaciones instaladas, detalles de la tarjeta SIM, estado de la pantalla de bloqueo, tipo de red, y otros parámetros del dispositivo.
  2. Conectividad a Internet y Manipulación de Ajustes:
    • El malware puede probar la conectividad a Internet utilizando técnicas como el envío de mensajes ping o SMS. También puede manipular los ajustes del dispositivo, incluyendo la capacidad de ocultar o mostrar su propio ícono a voluntad, así como ajustar configuraciones de sonido, como poner el teléfono en vibración, establecer niveles específicos de volumen, o ponerlo en silencio.
  3. Ataques de Superposición:
    • IRATA lleva a cabo ataques de superposición, en los cuales una aplicación legítima se superpone con una página de phishing que imita la interfaz de la aplicación. Esto permite al malware capturar información confidencial cuando la víctima intenta iniciar sesión o proporcionar datos de pago.
  4. Interceptación de Mensajes de Texto:
    • El malware tiene la capacidad de interceptar y recopilar mensajes de texto, lo que le permite adquirir códigos de autenticación de dos o múltiples factores (2FA/MFA) enviados por SMS. Esto puede comprometer la seguridad de cuentas o plataformas que utilizan esta medida adicional de seguridad.
  5. Autopropagación y Creación de Botnet:
    • IRATA puede añadir dispositivos infectados a una red de bots y autopropagarse a través de mensajes de texto spam. Para facilitar este proceso, recopila información extensa sobre los contactos de las víctimas, incluyendo nombres, números, horas de contacto, fotos (si están disponibles), direcciones de correo electrónico, entre otros.
  6. Intercepción de Correos Electrónicos:
    • El malware también tiene como objetivo interceptar correos electrónicos, recopilando las direcciones de correo electrónico del remitente y del destinatario, así como el contenido de los mensajes.
  7. Evadir la Detección y Posibles Iteraciones Futuras:
    • IRATA implementa técnicas para evadir la detección, como ocultar o mostrar su icono a voluntad. Además, se menciona que los desarrolladores de malware suelen mejorar sus productos, lo que sugiere la posibilidad de iteraciones futuras con funcionalidades adicionales o diferentes.

Origen y Motivación

La motivación detrás de IRATA, como en muchos casos de malware, suele ser financiera. Los desarrolladores de malware buscan obtener beneficios económicos mediante diversas actividades maliciosas. Aquí hay varias razones que respaldan la motivación financiera detrás de IRATA:

  1. Robo de información financiera: Al ser un stealer y un programa espía, IRATA tiene la capacidad de recopilar información financiera, como credenciales de inicio de sesión, números de tarjetas de crédito y otra información relacionada con pagos. Esta información puede ser utilizada para realizar transacciones no autorizadas, acceder a cuentas bancarias y cometer fraudes financieros.
  2. Creación de una botnet para actividades maliciosas: Al formar una botnet a partir de dispositivos infectados, los operadores de IRATA pueden tener un control centralizado sobre una red de dispositivos. Esta botnet se puede utilizar para realizar diversas actividades maliciosas, como el envío masivo de mensajes de texto spam, la propagación de malware a través de la red y otros ataques coordinados.
  3. Obtención de información personal: Además de la información financiera, IRATA recopila una amplia variedad de datos personales y confidenciales de los dispositivos infectados. Esto podría incluir información de contacto, detalles de la tarjeta SIM, correos electrónicos, entre otros. Los ciberdelincuentes pueden utilizar esta información para realizar ataques de phishing más específicos o venderla en el mercado negro.
  4. Extorsión y chantaje: Al tener acceso a información sensible, los operadores de IRATA podrían intentar extorsionar a los usuarios infectados. Podrían amenazar con revelar datos comprometedores o bloquear el acceso a los dispositivos a menos que se realice un pago.
  5. Venta de datos robados: La información robada, como datos de tarjetas de crédito y otra información personal, puede tener un alto valor en el mercado negro. Los ciberdelincuentes pueden vender estos datos a otros actores maliciosos para su explotación.

En cuanto a el origen de un malware como IRATA puede ser difícil de rastrear con certeza debido a la naturaleza evasiva de los actores maliciosos en línea. Sin embargo, algunos indicios y características del malware pueden proporcionar pistas sobre su posible origen.