AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Ciberdelincuentes aprovechan más de 600 dominios para distribuir un Telegram modificado y vulnerable en Android**

admin

### 1. Introducción

En un reciente y sofisticado esquema de ciberataque, actores maliciosos han desplegado una red de más de 600 dominios para atraer a usuarios de habla china y convencerles de descargar una versión manipulada y vulnerable de la popular aplicación de mensajería Telegram. Esta campaña, que afecta principalmente a dispositivos Android con versiones antiguas del sistema operativo, representa una amenaza significativa para la integridad y la privacidad de los usuarios, especialmente en un contexto donde las aplicaciones de mensajería cifrada son cruciales para la protección de las comunicaciones.

### 2. Contexto del Incidente

El uso de aplicaciones de mensajería alternativas o modificadas no es un fenómeno nuevo en el ecosistema Android, donde la fragmentación y la falta de actualizaciones en muchos dispositivos facilitan la explotación de vulnerabilidades. En este caso concreto, los atacantes han registrado y gestionado una infraestructura masiva de dominios, todos ellos orientados a engañar a usuarios chinos con versiones “mejoradas” o “no censuradas” de Telegram.

El objetivo es doble: por un lado, eludir las restricciones de descarga oficiales que existen en ciertos territorios, y por otro, aprovechar la falta de controles de seguridad en sistemas Android desactualizados, donde las políticas de Google Play Protect y las actualizaciones de seguridad críticas no están presentes o son fácilmente eludidas.

### 3. Detalles Técnicos

La campaña se apoya en una versión troyanizada de Telegram, modificada para incluir puertas traseras y funcionalidades espía, pero que mantiene la apariencia y funcionalidades básicas de la aplicación original para evitar levantar sospechas. El archivo malicioso suele distribuirse en formato APK y, según análisis de sandbox y reversing, incorpora payloads diseñados para persistir incluso después de reinicios del sistema.

#### Versiones afectadas

– Principalmente Android 8.1 y anteriores, aunque variantes del malware presentan compatibilidad con versiones hasta Android 10 debido a la lenta adopción de actualizaciones en el mercado asiático.
– No se han detectado infecciones en dispositivos con parches de seguridad posteriores a mayo de 2022.

#### Vectores de ataque

– Ingeniería social a través de webs clonadas y anuncios en foros chinos.
– Descarga directa de APK desde dominios registrados ad hoc.
– Mensajes SMS y campañas de phishing dirigidas.

#### Tácticas, Técnicas y Procedimientos (TTP) (MITRE ATT&CK)

– **T1195**: Supply Chain Compromise (distribución de software legítimo modificado).
– **T1566**: Phishing (uso de mensajes persuasivos y dominios falsos).
– **T1059**: Command and Scripting Interpreter (ejecución de scripts en el dispositivo infectado).
– **T1071.001**: Application Layer Protocol: Web Protocols (comunicaciones C2 cifradas sobre HTTPS).

#### Indicadores de Compromiso (IoC)

– Más de 600 dominios identificados, con patrones de nomenclatura relacionados con “telegram-cn”, “tg-app”, “securemsg”, etc.
– Hashes de los APK maliciosos compartidos en repositorios públicos y comunidades de threat intelligence.
– Observación de tráfico de comando y control a direcciones IP fuera de China, principalmente en Europa del Este.

### 4. Impacto y Riesgos

El principal riesgo reside en la completa pérdida de confidencialidad y control sobre la información transmitida mediante la aplicación. El malware tiene acceso a mensajes, contactos, archivos adjuntos, y puede escalar privilegios para interceptar autenticaciones 2FA, grabar audio, y acceder a otras aplicaciones sensibles.

Se estima que decenas de miles de usuarios han descargado la versión comprometida, con tasas de infección superiores al 20% en ciertos foros y comunidades tecnológicas de habla china. Las implicaciones económicas pueden ser graves, dado el potencial robo de credenciales bancarias y datos personales, lo que puede derivar en extorsión o fraude financiero.

### 5. Medidas de Mitigación y Recomendaciones

– **Descarga exclusiva desde fuentes oficiales**: Reforzar la política de instalar solo aplicaciones desde Google Play Store o el portal oficial de Telegram.
– **Actualización de dispositivos**: Instar a los usuarios a actualizar a versiones recientes de Android y aplicar los últimos parches de seguridad.
– **Implementación de EDR móvil**: Soluciones de detección y respuesta en endpoints móviles, especialmente en empresas con BYOD.
– **Bloqueo de dominios sospechosos**: Integrar la lista de dominios IoC en los filtros de DNS y proxys corporativos.
– **Educación y concienciación**: Programas de formación sobre riesgos de aplicaciones no autorizadas y técnicas de ingeniería social.

### 6. Opinión de Expertos

Especialistas en ciberseguridad móvil, como los equipos de Kaspersky y Lookout, advierten que la sofisticación de esta campaña muestra una evolución clara en la profesionalización de los actores de amenazas en Asia. Destacan que la combinación de ingeniería social, manipulación de la cadena de suministro y explotación de lagunas en la actualización de sistemas crea un entorno de alto riesgo, especialmente en mercados donde la fragmentación de Android es crítica.

### 7. Implicaciones para Empresas y Usuarios

Desde la perspectiva de cumplimiento normativo, especialmente bajo el RGPD y la inminente NIS2, las organizaciones tienen la obligación de garantizar la seguridad de los dispositivos móviles en su entorno, así como de informar de incidentes que puedan suponer una fuga de datos personales. Para los usuarios, la descarga de aplicaciones fuera de canales oficiales supone un riesgo inasumible, especialmente en contextos donde la privacidad y la disidencia política son sensibles.

### 8. Conclusiones

La campaña de distribución de Telegram vulnerable mediante una infraestructura de cientos de dominios demuestra la persistencia y creatividad de los cibercriminales para explotar tanto debilidades tecnológicas como humanas. La prevención pasa por una combinación de medidas técnicas, políticas de seguridad robustas y una formación continua para todos los usuarios y administradores de sistemas.

(Fuente: www.darkreading.com)