Los hackers intentaron engañar a usuarios de iPhone para instalar una versión falsa de WhatsApp, con el objetivo de obtener información clave.
Como antecedente, la empresa de seguridad ZecOps comentó en un tweet que había detectado ataques contra usuarios de WhatsApp. La empresa publicó un dominio específico y una dirección IP relacionados con los ataques. Citizen Lab analizó el dominio y encontraron otros datos relacionados, incluido uno que alojaba un sitio apócrifo para descargar WhatsApp, con el fin de engañar a los visitantes e instalar un archivo de configuración especial para iPhone, diseñado para recopilar información sobre las víctimas y enviarla de vuelta al atacante.

Cabe destacar que el sitio apócrifo indicaba a los visitantes cómo instalar un archivo de configuración a través del menú de configuración del sistema del iPhone, en vez de descargar la versión legítima de WhatsApp, disponible en la AppStore de Apple. Bill Marczak, investigador de Citizen Lab encontró que dicho archivo envía información del UDID y el IMEI, los datos que identifican a los teléfonos móviles, y comentó que el archivo MDM es la primera parte del proceso de instalación de lo que en última instancia probablemente sea una aplicación falsa de WhatsApp, que contiene software espía.

Los investigadores de Citizen Lab indicaron que no contaban con información sobre las siguientes etapas del ataque, lo que significa que no se tiene certeza de qué otros datos podrían haber sido extraídos por los hackers.

Cuando se le presentó un resumen de los hallazgos a WhatsApp, un portavoz de WhatsApp respondió que ellos “jamás piden estos privilegios de usuario y la gente debería sospechar mucho de cualquier aplicación que intente hacerlo, además de descargar WhatsApp únicamente de la tienda de aplicaciones oficial de la plataforma de su teléfono”.

Motherboard encontró posibles vínculos entre una versión falsa de WhatsApp y Cy4Gate, una empresa de vigilancia italiana que trabaja con agencias policiacas y de inteligencia: después de investigar el conjunto de dominios implicado, encontró algunos relacionados con el ataque y uno de ellos estaba registrado a nombre de “cy4gate srl”, una empresa con domicilio en Roma, Italia.

Según los registros de WHOIS, la mayoría de los dominios analizados se registraron en Roma. Cy4Gate es una empresa descrita como “Cyber Electronic Warfare & Intelligence”, y cuando Motherboard compartió los datos del dominio con Cy4gate, un portavoz de la compañía informó que los dominios de configuración identificados no son atribuibles a la compañía.

Referencias:
https://cybernews.com/best-password-managers/most-common-passwords/
https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
https://csrc.nist.gov/publications/detail/sp/800-132/final
https://pages.nist.gov/800-63-3/sp800-63b.html