«Google, borra este teléfono»: ciberdelincuentes convierten una función de seguridad en arma para espiar y borrar dispositivos
En lugar de un respiro, las víctimas recibieron justo lo contrario.
Una campaña de hackers norcoreana vinculada al grupo KONNI llevó a cabo una serie de ataques dirigidos a dispositivos móviles Android en Corea del Sur, utilizando por primera vez el servicio legítimo Google Find Hub para borrar datos de forma remota.
Según averiguaron los especialistas de la empresa Genians, los atacantes obtenían acceso a las cuentas de las víctimas, incluidas las de Google y Naver, y luego iniciaban el restablecimiento remoto de teléfonos inteligentes y tabletas para borrar información personal. Esto permitió no solo interrumpir el funcionamiento de los dispositivos, sino también ocultar simultáneamente las huellas del ataque, preparando el terreno para la posterior difusión de archivos maliciosos a través de cuentas comprometidas de KakaoTalk.
El incidente comenzó con correos de phishing dirigidos que incluían notificaciones falsas de la agencia tributaria de Corea del Sur. Entre las víctimas se contaban psicólogos que trabajaban con jóvenes desertores norcoreanos. Abrir los adjuntos provocaba la descarga de un archivo ejecutable disfrazado de programa para aliviar el estrés. Tras la infección, los atacantes usaban el acceso a KakaoTalk en el PC para enviar archivos infectados en archivos comprimidos a conocidos de las víctimas.
El elemento clave de la cadena maliciosa fue un instalador MSI firmado con un certificado digital de una empresa china. En su interior había scripts en AutoIt que ejecutaban la instalación y la activación oculta de componentes maliciosos.
Uno de esos scripts, IoKlTr.au3, se ejecutaba de forma programada y proporcionaba control remoto sobre el sistema, incluyendo el robo de datos, la captura de imágenes desde la cámara web y la conexión con servidores de mando en Alemania, Japón y Países Bajos. Los atacantes también empleaban cuadros de diálogo de error falsos para confundir a los usuarios y retrasar la detección de la actividad.
Además de LilithRAT y RemcosRAT, se utilizaron otras variantes de troyanos de acceso remoto, incluidos QuasarRAT y RftRAT. El análisis mostró que sus módulos ejecutables se cifraban con AES y se cargaban en procesos del sistema para camuflarse. Como infraestructura de transporte, los atacantes emplearon sitios en WordPress, así como alojamiento en Estados Unidos y Europa. En varios casos configuraron una estructura multinivel de nodos intermedios, lo que dificultó el rastreo de las fuentes de los ataques.
El objetivo de los ataques no era solo la vigilancia remota, sino también la destrucción de datos. Mediante la función Find Hub los atacantes rastreaban la ubicación de las víctimas y, en su ausencia, iniciaban el restablecimiento de los dispositivos. Comandos repetidos de borrado impedían la recuperación del funcionamiento y privaban a los usuarios del acceso a notificaciones importantes. Posteriormente, ya a través de KakaoTalk, se difundían archivos maliciosos, lo que aumentó el alcance del ataque.
Todas estas acciones iban dirigidas a crear una infraestructura resistente y discreta para el espionaje y la destrucción, lo que subraya el alto nivel de preparación y la madurez táctica de los atacantes. Los especialistas recomiendan encarecidamente reforzar la seguridad de las cuentas con autenticación de dos factores, verificar los archivos recibidos en aplicaciones de mensajería, usar cámaras con indicadores de actividad y desplegar monitoreo del comportamiento mediante sistemas EDR para detectar y bloquear estas amenazas en una fase temprana.
¿Estás cansado de que Internet sepa todo sobre ti?