Tras los informes de investigadores de seguridad del Citizen Lab de la Universidad de Toronto, WhatsApp ha corregido una vulnerabilidad Zero-Day que se utilizaba para instalar el software espía Graphite de Paragon,
La compañía abordó el vector de ataque a finales del año pasado "sin necesidad de una solución del lado del cliente... WhatsApp ha desmantelado una campaña de spyware de Paragon dirigida a varios usuarios, incluyendo periodistas y miembros de la sociedad civil. Nos hemos puesto en contacto directamente con las personas que creemos que se vieron afectadas", declaró un portavoz de WhatsApp a BleepingComputer.
El 31 de enero, tras mitigar el exploit de Zero-Click empleado en estos ataques, WhatsApp notificó a aproximadamente 90 usuarios de Android de más de dos docenas de países, incluyendo periodistas y activistas italianos, que habían sido víctimas del spyware Paragon para recopilar datos confidenciales e interceptar sus comunicaciones privadas.
Los investigadores descubrieron que los atacantes añadieron a las víctimas a un grupo de WhatsApp antes de enviarles un PDF. En la siguiente etapa del ataque, el dispositivo de la víctima procesó automáticamente el PDF, aprovechando la vulnerabilidad de día cero, ya parcheada, para instalar un implante de spyware Graphite en WhatsApp.
Posteriormente, el implante comprometió otras aplicaciones en los dispositivos afectados al eludir el entorno de pruebas de Android. Una vez instalado, el spyware proporciona a sus operadores acceso a las aplicaciones de mensajería de las víctimas.
Las infecciones de spyware Graphite pueden detectarse en dispositivos Android pirateados mediante un artefacto forense (denominado BIGPRETZEL), que analiza los registros de los dispositivos afectados.
Sin embargo, la falta de evidencia de infección no excluye que los indicadores forenses se sobrescriban o no se capturen debido a la naturaleza esporádica de los registros de Android.
Citizen Lab también mapeó la infraestructura de servidores utilizada por Paragon para implementar los implantes de spyware Graphite en los dispositivos objetivo, encontrando posibles vínculos con múltiples clientes gubernamentales, como Australia, Canadá, Chipre, Dinamarca, Israel y Singapur.
A partir del dominio de un único servidor dentro de la infraestructura de Paragon, los investigadores desarrollaron múltiples huellas digitales que ayudaron a descubrir 150 certificados digitales vinculados a docenas de direcciones IP que se cree forman parte de una infraestructura dedicada de comando y control.
Esta infraestructura incluía servidores en la nube, probablemente alquilados por Paragon o sus clientes, así como servidores probablemente alojados en las instalaciones de Paragon y sus clientes gubernamentales, afirmaron los investigadores.
La infraestructura que encontramos está vinculada a páginas web tituladas 'Paragon', devueltas por direcciones IP en Israel (donde Paragon tiene su sede), así como a un certificado TLS que contiene el nombre de la organización 'Graphite', que es el nombre del software espía de Paragon, y el nombre común 'installerserver' (Pegasus, un producto espía de la competencia, utiliza el término 'Installation Server' para referirse a un servidor diseñado para infectar un dispositivo con software espía).
Paragon Solutions Ltd., desarrollador israelí de software espía, fue fundada en 2019 por Ehud Barak, ex primer ministro israelí, y Ehud Schneorson, ex comandante de la Unidad 8200 de Israel. El grupo de inversión AE Industrial Partners, con sede en Florida, adquirió la empresa en diciembre de 2024.
A diferencia de competidores como NSO Group, Paragon afirma que solo vende sus herramientas de vigilancia a agencias policiales y de inteligencia en países democráticos que buscan perseguir a delincuentes peligrosos.
En diciembre de 2022, el New York Times informó que la Administración para el Control de Drogas de Estados Unidos (DEA) utilizó el software espía Graphite de la empresa. Dos años después, en octubre de 2024, Wired informó que Paragon firmó un contrato de 2 millones de dólares con el Servicio de Inmigración y Control de Aduanas de Estados Unidos (ICE).
Fuente: BC