martes, mayo 19, 2015

Comprando un RAT para espiar a empleados, hijos, pareja, ...

Siguiendo con el tema de ayer, en el que os comentaba que nuestro teléfono móvil puede ser troyanizado para convertirse en un bot, tal vez podáis pensar que solo es posible que hagan eso grupos de ciberdelincuentes o mafias organizadas que explotan las nuevas tecnologías para llevar a cabo su delitos y lucrarse con ello.

Con un poco de imaginación y paranoia podíamos buscar un culpable, tal vez las mafias chinas o de Europa del este que están tan de moda, o la NSA americana para tener datos nuestros. Igual es Google, Amazon o Apple para conocer nuestros gustos comerciales y darnos esa publicidad no solicitada.
Figura 1: Android nos confiesa que en ocasiones se siente vigilado

Pero, ¿y si te digo que este tipo de malware está a la mano de todo el mundo? ¿que cualquier persona puede comprarlo e instalarlo en su propio teléfono o en el de empleado o jefe, pareja o hijos?

Buscando en internet la oferta de empresas que venden este tipo de aplicaciones no es pequeña. Existen multitud de ellas en distintos idiomas y con tablas de compatibilidad de modelos de teléfonos. Te venden un ficherito que ejecutas en el teléfono (o lo mandas por mail, whatsapp, enlace, ... para que la "víctima" lo haga), y tiene un frontend, un panel de control que desde tu ordenador, tablet o smartphone te muestra todos los posibles ataques que podemos hacer. La lista de opciones no es pequeña, puedes hacer de todo con el teléfono infectado:

Espiar Llamadas
  • Escuchar llamadas en vivo
  • Grabar llamadas
  • Registrar llamadas
  • Registro de Llamadas VOIP4
  • Escuchar sonido ambiente
  • Grabar el ambiente
  • SpyCam para FaceTime

Espiar Mensajes
  • Leer mensajes SMS
  • Enviar SMS falsos
  • Leer E-mails

Espiar Passwords
  • Espiar claves de acceso
  • Espiar contraseñas de aplicaciones
  • Espiar contraseñas de email

Espiar en GPS
  • Ver & Rastrear Ubicaciones GPS

Espiar Chats 
  • WhatsApp
  • Facebook / FB Messenger
  • Viber
  • LINE
  • Skype
  • WeChat
  • iMessage
  • BBM
  • Blackberry PIN
  • Yahoo Messenger
  • Snapchat
  • Hangouts 

Espiar Remotamente
  • Tomar una foto usando la cámara
  • Reiniciar Dispositivo
  • Comprobar estado de batería del dispositivo
  • Control Remoto por SMS

Y mil funciones mas que no pongo por no alargar el post. Como veis, se convierte en un auténtico bot, lo puedes tener sometido a tu voluntad.
Figura 2: rastreo GPS de lugares desde los que se han mandado twits

Si como tecnología ves que está muy bien, muy completo, pero piensas que es complejo, todo lo contrario es muy sencillo de usar. ¿Y el precio? desde $15 tienes la posibilidad de comprarlo. Yo alguna web que he visitado también los he visto por $49,95 con licencia para un mes, $168 con licencia de por vida, ... precios muy asequibles para casi cualquier bolsillo.

Y ahora la parte comercial. Estos son algunos de los argumentos de venta que he leído:
  • Programa XXXX se está convirtiendo rápidamente en el programa de rastreo de teléfonos móviles más popular. Si realmente teme que su pareja lo está engañando o si se preocupa porque su hijo se ha vuelto callado o está deprimido, definitivamente éste es su programa
  • El mejor programa para espiar móviles por internet desde el ordenador, para saber si su pareja le engaña o es infiel. Ya no es necesario un investigador privado
  • ¿Eres una pareja celosa, un padre cuidadoso, o un jefe preocupado? ¿Necesitas confirmar que tu pareja es sexualmente fiel, que tu hijo está seguro o que tus empleados mantienen un buen comportamiento? Espía en sus smartphones o iPad y deja de dudar. O protégete si no es así.

Todo esto se ve muy turbio!!! 


1. «El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Figura 3: artículo 197 del código penal
¿Qué nos dicen en las web de venta de este programa sobre la legalidad?

Programa YYYY es perfectamente legal para instalar en su propio teléfono como principal solución de copia de seguridad . Pero por favor, asegúrese de que tiene permiso explícito de la persona cuyo teléfono se le supervisando y cuyo teléfono va a requerir físicamente con el fin de instalar físicamente Programa YYYY a ella antes de seguir adelante . Por otra parte, en caso de duda , revisar sus leyes locales del país y lea nuestro aviso legal aquí .
Visto lo visto, ahora la parte productiva:
Recomendaciones si tenéis un  iPhone:
  • tened controlado el terminal en todo momento
  • con passcode complejo
  • sin Siri
  • actualizado a la última versión
  • sin jailbreak 


Si tienes un Android:
  • tened controlado el terminal en todo momento
  • con passcode complejo
  • actualizado a la última versión
  • evita bajarte apps con permisos raros
  • pon un antimalware
  • evita rootear el teléfono
  • presta atención a la versión WhtasApp que te bajas (que sea del canal oficial)

Y unos enlaces para complementar la información:

Figura 4: entrada del blog elladodelmal : Troyano para espiar un Android
Vídeo 1: Chema Alonso y Jordi Évole troyanizando un móvil


Saludos!

No hay comentarios:

Publicar un comentario

Puedes dejar tus comentarios, sugerencias y críticas, pero los mensajes PUBLICITARIOS, OFENSIVOS o DESTRUCTIVOS serán marcados como spam y eliminados.