Candiru es una discreta empresa con sede en Tel Aviv, Israel, que vende software espía exclusivamente a los gobiernos, asegura Citizen Lab de la Universidad de Toronto, al presentar este jueves un informe al respecto. De acuerdo con sus investigaciones, el software en cuestión puede infectar todo tipo de dispositivos como iPhone, Android, Mac, PC y las cuentas de la nube.
Citizen Lab detalló que, mediante una búsqueda realizada en Internet, identificó 750 sitios web vinculados a la infraestructura del software espía de Candiru, entre ellos dominios disfrazados de organizaciones de defensa de los derechos humanos como Amnistía Internacional, el movimiento Black Lives Matter, así como empresas de medios y otros organismos de la sociedad civil.
El programa ha sido utilizado contra políticos, opositores, periodistas, académicos y defensores de los derechos humanos en varios países, de acuerdo con la organización, que pudo recuperar una copia del software espía diseñado para Wiindows.
Microsoft colaboró con la investigación sobre Candiru y detectó al menos 100 víctimas en Palestina, Israel, Irán, Líbano, Yemen, España, Reino Unido, Turquía, Armenia y Singapur. En el caso español, la empresa detalló que el software fue utilizado en Cataluña.
Citizen Lab detalla que Candiru ha hecho esfuerzos para ocultar su estructura de propiedad, personal y socios inversores. Sin embargo, el informe arroja luz sobre estos temas.
Por ejemplo, descubrieron que Candiru Limited fue fundada en 2014 y en su andadura empresarial ha sufrido varios cambios de nombre. Además, que la compañía presuntamente recluta a miembros de inteligencia de las fuerzas de Defensa de Israel. El nombre actual de la empresa Saito Tech Limited.
Tras una demanda presentada por un ex empleado de la compañía, se descubrió que Candiru tuvo ventas por casi 30 millones de dólares durante los dos primeros años de su fundación.
La empresa cuenta con clientes en Europa, los países de la ex Unión Soviética, el Golfo Pérsico, Asia y América Latina. Entre los países mencionados están Uzbekistán, Arabia Saudita, Emiratos Árabes Unidos, Singapur y Qatar, entre otros.
Tras darse a conocer la investigación, Microsoft informó que ha creado protecciones en sus productos contra este ‘malware’ al que denominan DevilsTongue (lengua de diablo). Además, señaló que ha compartido estos instrumentos con la comunidad de seguridad para combatir colectivamente esta amenaza.
De acuerdo con Microsoft, el programa espía logró infiltrarse en redes sociales como Facebook y Twitter, así como en los servicios de correo electrónico de Gmail y Yahoo. Si se quiere infectar Signal, por ejemplo, se debe pagar un precio adicional.
Una de las funcionalidades de DevilsTongue es la suplantación de la víctima en estos sitios y el envío de mensajes a su nombre. Esto aumenta el potencial infeccioso de este tipo de software.
También puede acceder al historial de navegación y a las contraseñas, encender la cámara web y el micrófono de la persona espiada.
Citizen Lab reveló que Candiru parece otorgar licencias de su software espía, en función del número de infecciones simultáneas que se busque lograr. Además, al igual que NSO Group, la empresa creadora del ‘malware’ Pegasus, también parece dirigir al cliente a un conjunto de países aprobados.
Si se compra el paquete de 16 millones de euros, Candiru permite un número ilimitado de intentos de infección por parte del software espía, pero el seguimiento de solo 10 dispositivos simultáneamente. Si se le agregan 1,5 millones de euros al paquete, se pueden monitorear 15 dispositivos adicionales de forma simultánea y ampliar a otro país el espionaje.
Si se pagan 5,5 millones de euros adicionales, el cliente puede monitorear 25 dispositivos adicionales simultáneamente y realizar espionaje en cinco países más.
Entre los países donde no se puede utilizar el software espía están Estados Unidos, Rusia, China, Israel e Irán. Sin embargo, Microsoft encontró víctimas en Irán, lo que sugiere que, en algunas situaciones, los productos de Candiru sí operan en territorios restringidos. De hecho, el informe señala que algunos dominios utilizados por el ‘malware’ para infectar se hacen pasar por el servicio postal ruso.
Source link