Un programa espía roba datos de usuarios iraníes a través de un instalador VPN infectado

Se ha descubierto un programa espía que roba datos de usuarios iraníes a través de un instalador VPN infectado, según ha revelado el proveedor de antivirus Bitdefender.

La investigación conjunta de la compañía con la empresa de ciberseguridad Blackpoint descubrió componentes del malware EyeSpy de fabricación iraní que se inyectaban «a través de instaladores troyanizados de software VPN (también desarrollado en Irán).»

La mayoría de los objetivos se encontraban dentro de las fronteras del país, y sólo se detectaron unas pocas víctimas con base en Alemania y Estados Unidos.

Esto es especialmente preocupante en un país como Irán, donde el uso de uno de los mejores servicios VPN se ha convertido cada vez más en una necesidad. Ya sea para eludir su estricta censura en línea o para preservar el anonimato y evitar la peligrosa vigilancia gubernamental. Lo más probable es que sea una mezcla de ambas cosas.

Al mismo tiempo, una dura represión de los servicios VPN iraníes podría empujar a la gente hacia sitios inseguros de terceros proveedores. Esto hace que una campaña de spyware de este tipo sea aún más peligrosa para la privacidad y la seguridad de los iraníes.

¿Spware antidisidentes?

«A la luz de los recientes acontecimientos, es posible que los objetivos sean iraníes que quieren acceder a Internet a través de una VPN para eludir el bloqueo digital del país. Tales instaladores maliciosos podrían plantar spyware en personas que suponen una amenaza para el régimen», el informe de Bitdefender (se abre en una nueva pestaña) anotado.

Desarrollado por la empresa SecondEye, con sede en Irán, EyeSpy es un software de vigilancia legal que se vende a las empresas como una forma de controlar las actividades de los empleados que trabajan a distancia.

Se observó que los atacantes utilizaban componentes de la aplicación legítima de forma maliciosa para infectar a los usuarios que descargaban el servicio VPN 20Speed, con sede en Irán, y espiar sus actividades.

Una vez inyectado en un dispositivo, el malware puede espiar virtualmente todas las actividades y recopilar toneladas de datos confidenciales. Entre ellos se incluyen contraseñas almacenadas, datos de criptocarteras, documentos e imágenes, contenido del portapapeles y registros de pulsaciones de teclas.

«Los componentes del malware son scripts que roban información sensible del sistema y la suben a un servidor FTP perteneciente a SecondEye», explica Bitdefender.

«Esto puede conducir a la toma completa de cuentas, robo de identidad y pérdidas financieras. Además, mediante el registro de las pulsaciones de teclas, los atacantes pueden obtener los mensajes escritos por la víctima en las redes sociales o en el correo electrónico, y esta información puede utilizarse para chantajear a las víctimas.»

La campaña parece estar activa desde mayo de 2022, con un número creciente de ataques tras la oleada de protestas antigubernamentales iniciada en septiembre.

Las descargas de VPN en Irán se dispararon a raíz de esto, alcanzando un pico de aumento de más del 3.000% a finales de mes.

Una VPN es utilizada en gran medida por los ciudadanos iraníes para acceder a aplicaciones restringidas como Instagram y WhatsApp. Pero, dado que el gobierno impone cada vez más duras condenas a los disidentes, que llegan incluso a la pena de muerte, también es necesario un software de seguridad adicional para salvaguardar los datos confidenciales.

Mientras que cada vez más iraníes descargan una red privada virtual en sus dispositivos, las autoridades apenas toman medidas enérgicas contra los servicios VPN fiables.

Muchos proveedores están bloqueados actualmente en Irán, lo que significa que los instaladores de VPN de terceros son cada vez más populares. Según Iran International (se abre en una nueva pestaña), 20Speed VPN es en realidad uno de los sitios web más populares donde los iraníes se dirigen a comprar sus suscripciones VPN. Más de 100.000 son las instalaciones activas de su aplicación VPN para Android.

Para luchar contra este tipo de campañas de malware, los expertos de Bitdefender recomiendan «utilizar soluciones VPN conocidas descargadas de fuentes legítimas. Además, una solución de seguridad, como Bitdefender, puede proteger contra los ladrones de información.»