Konni aprovecha Google Find My Device para el borrado remoto malicioso de Android

Introducción

En un reciente giro dentro del panorama de amenazas móviles, investigadores de ciberseguridad han identificado una campaña encabezada por Konni, un subgrupo conocido dentro del aparato de ciberespionaje estatal de la República Popular Democrática de Corea (DPRK). Esta campaña explota la funcionalidad legítima de “Encontrar mi dispositivo” (Find My Device/Find Hub) de Google, diseñada para ayudar a los usuarios a localizar, bloquear o borrar remotamente sus dispositivos Android perdidos. Sin embargo, actores maliciosos han manipulado esta herramienta para ejecutar borrados remotos no autorizados con fines de sabotaje y antiforenses, representando una amenaza relevante para entornos empresariales y usuarios individuales.

Contexto del Incidente

Konni, vinculado históricamente a operaciones de espionaje, robo de información y persistencia en redes de alto valor, ha evolucionado sus técnicas integrando tácticas que abusan de funcionalidades nativas de dispositivos móviles. El grupo, activo desde al menos 2014, es especialmente conocido por campañas dirigidas a gobiernos, sector defensa y empresas tecnológicas, utilizando malware personalizado y técnicas de spear phishing.

El abuso de Google Find My Device no sólo permite la localización de terminales, sino que —en manos de un atacante con las credenciales adecuadas— facilita el borrado completo del dispositivo (factory reset). Este proceso elimina datos, configuraciones y aplicaciones, dificultando o imposibilitando cualquier análisis forense posterior, un enfoque alineado con estrategias antiforenses documentadas en el marco MITRE ATT&CK (técnica T1070.004: File Deletion y T1565: Data Manipulation).

Detalles Técnicos

Según el análisis técnico, los atacantes han explotado principalmente las siguientes vías:

– **Compromiso de cuentas Google**: Utilizando credenciales robadas mediante phishing, infostealers o campañas previas, los atacantes acceden al panel Find My Device.
– **Ejecución remota del borrado**: Una vez dentro, emplean la función de borrado de fábrica, desencadenando un wipe completo del dispositivo comprometido.
– **Elusión de medidas antifraude**: La acción se camufla como una solicitud legítima del propietario, dificultando su detección por sistemas de monitorización.

Aunque no se ha asignado aún un CVE específico a esta técnica, se alinea con los siguientes vectores y técnicas MITRE:

– **T1078 – Valid Accounts**
– **T1586 – Compromise Accounts**
– **T1486 – Data Encrypted for Impact**
– **T1070 – Indicator Removal on Host**

No se han observado exploits públicos en frameworks como Metasploit o Cobalt Strike adaptados a esta técnica, aunque podrían desarrollarse scripts personalizados para automatizar el proceso, dada la naturaleza de la API web de Find My Device.

Indicadores de compromiso (IoC) relevantes incluyen accesos sospechosos a cuentas Google desde IPs anómalas, solicitudes de borrado no autorizadas y patrones de acceso desde ubicaciones geográficas asociadas al DPRK.

Impacto y Riesgos

El impacto principal reside en la destrucción de datos y la interrupción operativa, afectando tanto a usuarios individuales como a flotas de dispositivos gestionados por empresas. La capacidad de realizar un factory reset remoto sin autorización permite al atacante eliminar evidencias de actividad maliciosa, frustrar investigaciones forenses y generar pérdidas económicas por inactividad o pérdida de información crítica.

Según estimaciones recientes, los dispositivos Android constituyen aproximadamente el 72% del parque móvil mundial, lo que amplifica el alcance potencial de esta amenaza. En entornos regulados por GDPR o NIS2, la destrucción o manipulación de datos personales puede derivar en sanciones significativas y obligaciones de notificación ante autoridades regulatorias.

Medidas de Mitigación y Recomendaciones

Para minimizar la exposición ante este vector, se recomiendan las siguientes acciones:

1. **Autenticación multifactor (MFA)** en todas las cuentas Google asociadas a dispositivos corporativos.
2. **Monitorización de accesos** al panel de Find My Device mediante herramientas SIEM y alertas de actividad anómala.
3. **Gestión centralizada de dispositivos (MDM/UEM)**, limitando la capacidad de factory reset a administradores y deshabilitando, si es posible, el acceso remoto no supervisado.
4. **Formación y concienciación** sobre phishing y técnicas de robo de credenciales entre empleados.
5. **Auditoría periódica** de permisos y dispositivos asociados a cuentas corporativas.
6. **Implementación de políticas de backup robustas** que permitan la recuperación rápida de datos.

Opinión de Expertos

Expertos como Dave Kennedy, fundador de TrustedSec, resaltan que “el abuso de funcionalidades legítimas como Find My Device refleja la sofisticación creciente de los actores estatales, que buscan maximizar el daño minimizando la exposición”. Desde el sector, se recalca la importancia de una gestión de identidades y accesos (IAM) robusta y la supervisión continua de eventos críticos en consolas administrativas.

Implicaciones para Empresas y Usuarios

Para empresas, este vector representa un punto ciego en la estrategia de defensa móvil, especialmente en organizaciones con políticas BYOD o con flotas de smartphones gestionadas remotamente. La dependencia de cuentas personales para la gestión de dispositivos incrementa el riesgo, y la carencia de controles granulares sobre funciones administrativas puede facilitar el éxito de ataques de este tipo.

Los usuarios, por su parte, deben ser conscientes de los riesgos asociados al uso compartido de credenciales y la falta de MFA, así como la importancia de revisar periódicamente los dispositivos y servicios vinculados a su cuenta Google.

Conclusiones

La explotación de Google Find My Device por parte de Konni evidencia la necesidad de abordar la seguridad móvil con un enfoque holístico, considerando tanto amenazas externas como el abuso de funcionalidades legítimas. La protección efectiva requiere combinar controles técnicos, formación, detección proactiva y respuesta rápida ante incidentes, especialmente en un contexto donde los ataques estatales y el sabotaje antiforense se vuelven cada vez más comunes.

(Fuente: www.darkreading.com)