Desde que whataspp modificó sus condiciones para poder compartir información de sus usuarios con la famosa red social Facebook, la popularidad de Telegram se ha disparado de forma exponencial. Solamente en el mes de Enero de 2021 ha sido descargada más de 63 millones de veces. No obstante, recientemente se ha descubierto que los ciberdelincuentes utilizan Telegram para introducir malware.
Concretamente, estos ciberdelincuentes han descubierto como utilizar Telegram como sistema de control para este malware.
A finales de 2020, Telegram estaba considerada como una de las aplicaciones de mensajería instantánea más utilizadas a nivel mundial. Según los datos el crecimiento de la aplicación es debido a que los nuevos usuarios que la descargaban buscaban una mejor seguridad y privacidad en sus datos y conversaciones. Lamentablemente esto está empezando a no ser así.
El primer descubrimiento de que los delincuentes estaban insertando distintos tipos de malware a través de la aplicación fue el pasado año 2017. Los criminales utilizando un malware denominado Masad para sustraer datos personales utilizaban la aplicación Telegram para poder controlar la actividad de su malware en los dispositivos que infectaban.
Telegram y los antivirus
El problema principal es que Telegram, al ser considerada una aplicación de origen legítimo no suele ser detectada por los sistemas antivirus. Los ciberdelincuentes pueden delinquir de forma totalmente anónima, puesto que simplemente tienen que registrar un teléfono móvil. A través de la aplicación tienen la capacidad de enviarse a gran velocidad cualquier clase de archivos o incluso descargar otros malware en los dispositivos que infectan.
El troyano Toxiceye
Recientemente, la firma de ciberseguridad Check Point ha descubierto un nuevo malware que permite a los delincuentes realizar operaciones maliciosas a través de Telegram. Concretemente utilizan Telegram para introducir malware utilizando la plataforma como un sistema de mando y control.
Check Point informa de que se han podido detectar más de 130 ciberataques en los meses pasados mediante la utilización de un troyano de acceso remoto o RAT denominado Toxiceye.
Toxiceye se extiende a través de emails de phishing que contienen un archivo ejecutable. En el momento que se ejecuta este archivo este malware se ejecuta, pudiendo así sustraer datos, cerrar procesos en nuestro pc, realizar transferencia de archivos, capturar audio a través de nuestro micrófono o las imágenes de la webcam e incluso realizar el cifrado de archivos para poder así realizar ataques tipo ransomware.
La forma de operar de Toxiceye
Su forma de operar es sencilla. El primer paso a seguir es la creación de una cuenta de Telegram y a su vez un bot. Después éste pasa a formar parte del fichero de configuración del mañware ToxicEye y es compilado como un fichero ejecutable. Esto se utiliza para poder controlar los equipos de forma remota.
Como podemos evitar la infección
Desde la firma Check Point nos proporcionan una serie de consejos para poder detectar si estamos infectados con Toxiceye.
El primer paso a seguir es comprobar la ruta C:/Usuarios/ToxicEye/rat.exe en nuestro equipo. En caso de tenerlo, tendremos que utilizar un sistema antivirus inmediatamente para que lo elimine y procurar desconectar nuestro pc de la red. Como siempre recomiendo es imprescindible comprobar los correos electrónicos que recibimos y tener especial cuidado con ellos. A través de estos emails los delincuentes introducen estos malware muchas veces haciéndose pasar por empresas o servicios o incluso sencillamente utilizando un remitente de origen oculto. Es muy habitual encontrarnos en este tipo de emails numerosas faltas de ortografía y fallos de gramática.
Si quieres ampliar información, puedes consultar este artículo en el que analizamos la seguridad de Whatsapp y como hacer la app lo mas segura posible.