Google eliminó esta semana una aplicación Android de la Play
Store que se utilizó para recopilar información personal de los bielorrusos que
asistían a protestas contra el gobierno.
La aplicación, llamada NEXTA LIVE (com.moonfair.wlkm),
estuvo disponible durante casi tres semanas en la Play Store oficial de
Android, se descargó miles de veces y recibió cientos de reseñas.
Para obtener instalaciones, NEXT LIVE afirmó ser la
aplicación oficial de Android para Nexta, una agencia de noticias independiente
bielorrusa que ganó popularidad entre los manifestantes anti-Lukashenko después
de exponer abusos y brutalidad policial durante las recientes manifestaciones
antigubernamentales del país.
Sin embargo, en un comunicado publicado en Telegram la
semana pasada, Nexta dijo que la aplicación no estaba asociada con su servicio
y estaba diseñada para recopilar datos de los usuarios y anonimizar a los
asistentes a las protestas.
(adsbygoogle = window.adsbygoogle || []).push({});
“No lo instales bajo ninguna circunstancia. ¡Avisa a
tus amigos, máximo repost!”, Escribió el personal de Nexta en su canal de
Telegram.
Nexta también pidió a los usuarios que desinstalaran
inmediatamente la aplicación de sus dispositivos, que le dieran una mala
calificación y revisión, y luego informaran al personal de Google.
NEXT LIVE recopilo Datos de ubicación y detalles del propietario del dispositivo
Esta estrategia de informes masivos funcionó y la aplicación
se eliminó a principios de esta semana. Sin embargo, para muchos usuarios, el
daño ya está hecho.
Según un investigador de seguridad bielorruso, a quien llamaremos
S. por su protección y privacidad, la aplicación fue diseñada para fines de
recolección masiva. En un análisis resumido que compartió con los lectores de
Nexta, S. dijo que la aplicación fue diseñada para recopilar datos de
geolocalización, recopilar información sobre el propietario del dispositivo y
luego cargar los datos en un servidor remoto a intervalos regulares.
El investigador de malware de Android Gabriel Cîrlig, a
quien ZDNet le pidió hoy que también mirara NEXTA LIVE, dijo que la aplicación
parece comunicarse con un dominio alojado en una dirección IP rusa, en el sitio
arcpi.nextialive.roimaster [.] (89.223.89 [. ] 47).
Tanto el dominio como la dirección IP no figuran en ninguna
fuente de inteligencia de amenazas, y no tienen afiliaciones con campañas de
malware anteriores, según una búsqueda realizada por ZDNet hoy.
Sin embargo, la misma dirección IP alojaba anteriormente
otros dominios de apariencia sospechosa (es decir, el sitio
hackappnewcrmuzbekistan.roimaster [.]), Lo que sugiere que hay más en este
servidor de lo que parece.
No obstante, una función de recopilación de ubicaciones no
tiene lugar en una aplicación centrada en noticias, especialmente una que es
popular entre los manifestantes antigubernamentales en un país políticamente
inestable gobernado actualmente por un líder autocrático que lucha por
permanecer en el poder.
(adsbygoogle = window.adsbygoogle || []).push({});
Si bien no existe un vínculo oficial entre la aplicación
falsa de Nexta y el gobierno de Minsk, esta no sería la primera vez que un
gobierno intentaría espiar a sus ciudadanos en medio de protestas antigubernamentales,
en un intento de identificar a los asistentes a la protesta.
Incidentes similares ocurrieron en Venezuela e Irán en 2019,
e incluso en Estados Unidos, a principios de este año, durante las protestas de
Black Lives Matter.
Además, los bielorrusos tienen razón en desconfiar de la
aplicación y de los posibles vínculos con el gobierno local después de que a
principios de este año la policía bielorrusa allanó las oficinas de las
empresas de transporte privado Yandex y Uber, en lo que los manifestantes
describieron como un intento de obtener datos de ubicación de los viajes. Para
identificar quiénes participaron en manifestaciones contra el gobierno.
