Un grupo de amenazas persistentes avanzadas (APT) respaldado por el gobierno ruso ha estado distribuyendo un malware para Android entre los hacktivistas proucranianos a través de una aplicación falsa que supuestamente estaba destinada a lanzar ataques de denegación de servicio distribuido (DDoS) contra páginas web rusas.
Así lo señala un nuevo informe del Grupo de Análisis de Amenazas (TAG) de Google, que recoge los nuevos hallazgos que ha descubierto mientras continúa monitoreando el entorno de ciberseguridad en Europa del Este con respecto a la guerra de Ucrania.
El equipo de Google TAG atribuye el malware a Turla, un grupo APT respaldado por el Servicio Federal de Seguridad (FSB) de Rusia también rastreado como Waterbug, Venomous Bear, Kryptin y Uroburos. Según indica el informe, firmado por el investigador de seguridad de Google TAG Billy Leonard, esta es la primera vez que se detecta a Turla implementando un malware para Android y el grupo ha utilizado aplicaciones alojadas en un dominio que falsificaba al Regimiento Azov, una unidad militar perteneciente a la Guardia Nacional de Ucrania.
"Las aplicaciones no se distribuyeron a través de Google Play Store, sino que se alojaron en un dominio controlado por el actor y se difundieron a través de enlaces en servicios de mensajería de terceros", explica Leonard.
La página de descarga de la aplicación que suplantaba al Batallón Azov estaba alojada en un dominio que también simulaba ser uno legítimo del regimiento, cyberazov.com, y se presentaba como una "comunidad de gente libre de todo el mundo que está luchando contra la agresión de Rusia".
"¡Únete a Cyber Azob y ayuda a detener la agresión rusa de Ucrania! (…) Reclutamos a gente motivada que esté preparada para apoyar nuestra causa. Hemos desarrollado una aplicación de Android que ataca la infraestructura de internet de Rusia", se lee en la web falsa de Cyber Azov. Además, también se indica que el funcionamiento de la aplicación es muy sencillo ya que, una vez descargada, solo hace falta darle al botón de "start" e "inmediatamente comienza a enviar solicitudes a páginas rusas para saturar sus recursos y provocar la denegación de servicio".
Según Leonard, estos ataques DDoS consisten en realidad en una solicitud GET a la página web de destino, lo que "no es suficiente para ser efectivo". Además, apunta que creen que la cantidad de instalaciones ha sido "minúscula" y no ha causado un "gran impacto en los usuarios de Android".
El experto de Google TAG también advierte que esta no es la única aplicación de Turla que han detectado durante su investigación y que han identificado otra vista por primera vez el pasado mes de marzo, que igualmente era para Android y afirmaba realizar ataques DDoS contra sitios web rusos.
"En este caso, el nombre de la aplicación de Android era stopwar.apk (com.ddos.stopwar) y se distribuía desde el sitio web stopwar.pro. Esta aplicación es bastante diferente de las aplicaciones de Turla descritas anteriormente y está escrita por un desarrollador diferente. También descarga una lista de objetivos de un sitio externo, pero a diferencia de las aplicaciones de Turla, envía continuamente solicitudes a los sitios web de destino hasta que el usuario lo detiene".
En base a su análisis, los investigadores de Google TAG creen que la aplicación StopWar fue creada por desarrolladores proucranianos y fue la fuente de inspiración en la que los actores de Turla basaron su aplicación falsa suplantando al Regimiento Azov de las fuerzas de Ucrania.