Los funcionarios empleados en el área de Defensa en India han sido el objetivo de la vigilancia de los ciberdelincuentes durante bastante tiempo.
Algunos actores de amenazas han estado usando una variante del troyano de acceso remoto (RAT) Spymax para controlar los dispositivos de las víctimas.
Así lo ha informado la plataforma de gestión de amenazas externas Cyfirma, quien asegura que la campaña lleva en marcha desde al menos julio de 2021.
La clave se encuentra en la instalación de un archivo APK que se hace pasar por una carta de promoción que promete el rango de 'Subs Naik'.
Una vez se procede a su instalación la app se muestra con un icono similar a Adobe Reader. Esta pide un sinfín de permisos, incluyendo el almacenamiento, la cámara, el micrófono y el acceso a Internet.
Los cibermalos usaron un enlace de Google Drive con un archivo PDF que enumeraba al personal de defensa indio que recientemente había ascendido de rango. Este link fue propagado utilizando la app de mensajería WhatsApp.
Teniendo en cuenta que la amenaza lleva un largo tiempo activa y está extremadamente dirigida, los investigadores creen que se trata de un actor de amenazas de estado nación bastante avanzado que busca apropiarse de información confidencial con fines geopolíticos.
Cyfirma deja caer que podría ser un grupo vinculado a algún país vecino del Sur de Asia que actualmente mantenga tensiones con India. Sin embargo, todavía no hay un autor claro.
Un RAT fácil de encontrar
El código fuente del mencionado RAT se puede encontrar en foros clandestinos. Este troyano de acceso remoto es fácilmente accesible para piratas informáticos no muy experimentados y no requiere de privilegios de Root en el dispositivo de la víctima.
Spymax RAT ofrece varias compilaciones de paquetes de Android y una de ellas cuenta con una función de vista web que permite al atacante inyectar cualquier enlace en el módulo de vista web. Una vez instalado se hace pasar por una app de Android completa.