### Campaña de espionaje en Android dirigida a usuarios en Pakistán utiliza técnicas de romance scam

#### Introducción

Investigadores de ESET han identificado una campaña de spyware dirigida a usuarios de Android en Pakistán, en la que los atacantes emplean tácticas de romance scam para comprometer dispositivos y exfiltrar información sensible. Este ataque, lejos de ser un caso aislado, forma parte de una operación de espionaje más amplia, cuyos vínculos y modus operandi revelan una sofisticación creciente y una adaptación constante a las medidas de seguridad implementadas en dispositivos móviles.

#### Contexto del Incidente

El auge de las aplicaciones de mensajería instantánea y redes sociales en regiones como Pakistán ha propiciado un terreno fértil para campañas de ingeniería social, especialmente aquellas que explotan la vulnerabilidad emocional de los usuarios. En este caso, los atacantes se hacen pasar por perfiles atractivos en redes sociales y aplicaciones de citas, estableciendo una relación de confianza con las víctimas antes de inducirlas a instalar aplicaciones maliciosas fuera de Google Play. Según ESET, la campaña comenzó a detectarse a finales de 2023 y ha continuado activa durante el primer semestre de 2024, con un enfoque particular en perfiles femeninos falsos que prometen iniciar una relación sentimental.

La investigación ha revelado que esta campaña no es un incidente aislado, sino que está vinculada a una infraestructura de espionaje persistente, con indicios de operaciones previas en el mismo país y potenciales conexiones con actores estatales o grupos APT de la región.

#### Detalles Técnicos

El vector de ataque principal es la ingeniería social: los atacantes persuaden a las víctimas para descargar aplicaciones de mensajería o “fotos privadas” a través de enlaces directos o APKs alojadas en servidores controlados por los atacantes. Estas aplicaciones, una vez instaladas, solicitan permisos excesivos (acceso a SMS, contactos, cámara, micrófono y almacenamiento), lo que les permite desplegar funciones de spyware.

El análisis técnico de ESET ha identificado variantes de spyware anteriormente documentadas bajo los nombres de GravityRAT y CapraRAT, ambas conocidas por su uso en campañas dirigidas en el sur de Asia. Las aplicaciones maliciosas no solo evaden muchas soluciones de seguridad tradicionales al no estar presentes en Google Play, sino que además incorporan técnicas de ofuscación de código y cifrado de comunicaciones para dificultar su detección.

No se ha asignado un CVE específico a estas muestras, pero los TTPs observados se alinean con las técnicas descritas en MITRE ATT&CK, particularmente:

– **T1059 (Command and Scripting Interpreter)**: uso de scripts para la ejecución remota de comandos.
– **T1071.001 (Application Layer Protocol: Web Protocols)**: transmisión de datos exfiltrados a través de HTTPs.
– **T1547 (Boot or Logon Autostart Execution)**: persistencia mediante autoejecución tras el reinicio del dispositivo.

Entre los IoCs identificados se encuentran direcciones IP y dominios asociados a servidores de comando y control (C2) en India y Pakistán, así como certificados autofirmados reutilizados en múltiples campañas.

#### Impacto y Riesgos

El impacto de la campaña va más allá de la simple pérdida de privacidad. La exfiltración de mensajes SMS puede permitir el robo de códigos de autenticación 2FA, mientras que el acceso al micrófono y la cámara habilita la vigilancia activa del entorno de la víctima. El robo de credenciales y la geolocalización pueden facilitar ataques dirigidos, extorsión o el acceso a servicios corporativos si el dispositivo infectado pertenece a un empleado de una organización.

ESET estima que, aunque la campaña está focalizada en Pakistán, los artefactos técnicos podrían ser reutilizados contra otros objetivos de habla urdu o hindi. No se dispone de cifras exactas de afectados, pero las descargas de las APK maliciosas superan las 2.000 en los últimos seis meses, y se ha observado intentos de propagación en canales de Telegram y Facebook.

#### Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de amenazas, se recomienda:

– **Restringir la instalación de aplicaciones de fuentes desconocidas** mediante políticas de MDM (Mobile Device Management).
– Utilizar soluciones de seguridad móvil capaces de detectar APKs ofuscadas y conexiones sospechosas a C2.
– Implementar autenticación multifactor robusta y evitar el uso de SMS como canal de segundo factor.
– Educar a usuarios y empleados sobre los riesgos de la ingeniería social y el intercambio de datos personales con desconocidos.
– Monitorizar logs de red en busca de patrones de tráfico hacia dominios e IPs conocidas por actividades maliciosas.

#### Opinión de Expertos

Especialistas en ciberseguridad como Lukáš Štefanko, investigador principal de ESET, señalan que “la convergencia entre ingeniería social avanzada y malware móvil está marcando una nueva era de ataques dirigidos, donde la confianza personal se convierte en el principal vector de compromiso”. Por su parte, analistas de Threat Intelligence subrayan la relevancia de la colaboración internacional para rastrear infraestructuras de C2 compartidas y atribuir campañas cuando se observa una reutilización de TTPs.

#### Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas con operaciones en Asia Meridional o equipos internacionales, este incidente destaca la necesidad de políticas estrictas de BYOD (Bring Your Own Device) y la segmentación de redes para dispositivos móviles. Bajo el marco regulatorio del GDPR y la inminente NIS2, la protección de datos personales y la respuesta proactiva ante incidentes son obligaciones legales que pueden traer sanciones importantes en caso de filtración.

Para los usuarios particulares, la campaña pone de relieve la importancia de la higiene digital y la cautela ante solicitudes de instalación de aplicaciones fuera de canales oficiales.

#### Conclusiones

La campaña de spyware en Android identificada por ESET revela una tendencia preocupante: el uso de ingeniería social emocionalmente manipuladora como puerta de entrada a amenazas técnicas avanzadas. El sector debe reforzar sus sistemas de defensa móvil, invertir en formación y estrechar la cooperación internacional para contener la proliferación de estas campañas, cada vez más dirigidas y sofisticadas.

(Fuente: www.welivesecurity.com)