Campaña SarangTrap: nueva amenaza móvil a gran escala compromete Android e iOS en Corea del Sur

Introducción

En las últimas semanas, el equipo de investigación de Zimperium zLabs ha identificado una campaña de malware móvil a gran escala que está afectando tanto a dispositivos Android como iOS. Bautizada como SarangTrap, esta operación maliciosa se caracteriza por la distribución de aplicaciones falsas que simulan ser populares servicios de citas, redes sociales, almacenamiento en la nube y aplicaciones de transporte. El objetivo principal es la extracción de información personal y datos sensibles de los usuarios. A diferencia de campañas anteriores, SarangTrap destaca por su capacidad de ejecución multiplataforma y su enfoque selectivo hacia objetivos en Corea del Sur, aunque existen indicios de una posible expansión geográfica.

Contexto del Incidente

La campaña SarangTrap fue detectada durante el segundo trimestre de 2024, en un contexto marcado por el incremento sostenido de ataques móviles sofisticados. Según los datos de Zimperium, más del 80% de las aplicaciones maliciosas fueron descargadas por usuarios ubicados en Corea del Sur, lo que sugiere una motivación geopolítica o económica específica. Las aplicaciones fraudulentas se distribuyen principalmente fuera de los marketplaces oficiales, a través de enlaces de phishing, redes sociales y servicios de mensajería instantánea, aprovechando técnicas de ingeniería social para persuadir a los usuarios de instalar los APK o paquetes iOS manipulados.

Detalles Técnicos

La amenaza SarangTrap utiliza técnicas avanzadas de evasión y persistencia, permitiendo comprometer tanto terminales Android (versiones 10 en adelante) como iOS (iOS 13+). En el caso de Android, el malware explota permisos abusivos solicitados durante la instalación, incluyendo acceso a SMS, contactos, almacenamiento y localización. Una vez instalada, la aplicación establece comunicación con servidores de comando y control (C2) mediante HTTPS cifrado, utilizando dominios rotativos y mecanismos de domain generation algorithm (DGA).

En el ámbito iOS, SarangTrap emplea perfiles de configuración maliciosos (mobileconfig) y certificados empresariales para eludir las restricciones de la App Store, facilitando la instalación de aplicaciones no verificadas. Además, se han observado técnicas como el sideloading y la manipulación de WebClips para redirigir a los usuarios a portales de phishing.

Entre los TTPs (tácticas, técnicas y procedimientos) mapeados a MITRE ATT&CK destacan:

– Initial Access: Phishing (T1566), Drive-by Compromise (T1189)
– Persistence: Abuse Elevation Control Mechanism (T1548), Boot or Logon Autostart Execution (T1547)
– Credential Access: Input Capture (T1056), Credential Dumping (T1003)
– Exfiltration: Exfiltration Over C2 Channel (T1041)

Indicadores de Compromiso (IoC) publicados incluyen hashes SHA256 de APK y archivos IPA maliciosos, así como direcciones IP y dominios asociados a los servidores C2 identificados en la infraestructura de SarangTrap.

Impacto y Riesgos

El impacto de SarangTrap es significativo. Se estima que miles de dispositivos han sido comprometidos, permitiendo a los atacantes acceder a mensajes privados, credenciales, imágenes, datos de ubicación y otra información personal. En varios casos, se ha detectado la exfiltración de tokens de autenticación de servicios bancarios y redes sociales, lo que abre la puerta a fraudes económicos y suplantación de identidad.

El riesgo para organizaciones y usuarios es elevado, especialmente en sectores donde se manejan datos sensibles o se aplican normativas estrictas como GDPR o la recién implementada NIS2 europea. La posibilidad de escalada lateral mediante el uso de credenciales robadas incrementa la superficie de ataque y multiplica el riesgo de fugas masivas de información.

Medidas de Mitigación y Recomendaciones

– Restringir la instalación de aplicaciones a fuentes oficiales (Google Play y App Store).
– Implementar soluciones EDR/MDR con capacidades de detección de amenazas móviles, especialmente en entornos BYOD.
– Monitorizar activamente los indicadores de compromiso asociados a SarangTrap y actualizar las reglas de detección en SIEM/SOC.
– Sensibilizar a los empleados y usuarios sobre los riesgos de instalar aplicaciones desde enlaces no verificados y sobre las técnicas de ingeniería social utilizadas.
– Auditar permisos de aplicaciones instaladas y revocar aquellos excesivos o innecesarios.
– Aplicar segmentación de red y MFA para minimizar el impacto de posibles compromisos derivados de credenciales sustraídas.

Opinión de Expertos

Álvaro Muñoz, analista principal de amenazas móviles en S21sec, destaca: “La sofisticación de SarangTrap y su capacidad de operar en ambos sistemas operativos principales supone un salto cualitativo en el panorama de amenazas móviles. Las técnicas de evasión y persistencia, así como el uso de C2 cifrado y DGA, dificultan su detección y erradicación.”

Por su parte, Irene Gutiérrez, CISO de una multinacional tecnológica, subraya la necesidad de incluir la protección de dispositivos móviles en la estrategia integral de ciberseguridad corporativa: “La frontera entre dispositivos personales y corporativos es cada vez más difusa. SarangTrap demuestra que los vectores móviles pueden ser tan críticos como los endpoint tradicionales.”

Implicaciones para Empresas y Usuarios

La proliferación de campañas como SarangTrap obliga a las organizaciones a reforzar los controles en la gestión de dispositivos móviles y a revisar las políticas de seguridad asociadas al acceso remoto. La exposición a fugas de datos personales puede acarrear sanciones bajo GDPR y NIS2, así como daños reputacionales y económicos. Los usuarios, por su parte, deben extremar la precaución ante la descarga de aplicaciones y estar atentos a posibles señales de infección (ralentización, consumo anómalo de datos, mensajes sospechosos).

Conclusiones

SarangTrap representa una amenaza avanzada y persistente en el ámbito móvil, con capacidad de adaptación y expansión más allá de Corea del Sur. La naturaleza cross-platform y el empleo de técnicas modernas de ingeniería social y evasión sitúan a esta campaña como una de las más relevantes de 2024. La vigilancia proactiva, la formación y la adopción de soluciones de seguridad móvil robustas son claves para mitigar su impacto en empresas y usuarios.

(Fuente: feeds.feedburner.com)