Investigadores de ciberseguridad han descubierto un nuevo spyware con variantes que funcionan en dispositivos Android y en computadoras con Windows mientras investigaban una campaña de otro malware.
Llamado Chinotto, este malware fue descubierto por investigadores de Kaspersky. El equipo de expertos cree que está controlado por ScarCraft, un sindicato del crimen digital aparentemente patrocinado por el gobierno de Corea del Norte. Éstos utilizarían este software para controlar a desertores norcoreanos, periodistas que cubren noticias relacionadas con Corea del Norte y otros "enemigos" de la dictadura asiática.
"El agent utilizó tres tipos de malware con funcionalidades similares: versiones implementadas en PowerShell, ejecutables de Windows y aplicaciones Android... Por lo tanto, los operadores de malware pueden controlar a toda esta familia de malware usando un conjunto de scripts de comando y control", afirman los investigadores (opens in new tab).
Las investigaciones revelaron que la organización distribuyó el malware a través de un ataque de phishing, que realizaron después de liar a los conocidos de la víctima utilizando redes sociales robadas o credenciales de correo electrónico.
Poderoso espía
Las investigaciones de Kaspersky han revelado que, si bien la campaña de ataques actuales comenzó en algún momento de marzo de 2021 ya había varias variantes más antiguas de este malware que se remontan a mediados de 2020.
Después de infectar al anfitrión, los hackers desataron múltiples versions del malware para obtener el control. Curiosamente, en uno de los casos analizados, esperaron unos seis meses después de meterse en el anfitrión para poder desplegar Chinotto.
Basándose en su análisis del código, los investigadores de Kaspersky creen que no sólo permite a los atacantes espiar a sus víctimas a través de capturas de pantalla, sino que también les da la capacidad de controlar los dispositivos infectados, abriendo una puerta trasera para extraer datos e incluso instalar malware adicional sin que el usuario se dé cuenta.
La investigación también reveló que los atacantes juguetean con las capacidades del malware en lo que parece ser un intento para evitar la detección tradicional basada en firmas electrónicas.