Mostrando entradas con la etiqueta smartphone. Mostrar todas las entradas
Mostrando entradas con la etiqueta smartphone. Mostrar todas las entradas

sábado, 3 de octubre de 2015

¿Mi móvil me espía?

Hoy me han traído un smartphone a mi taller. El cliente me comentó que tenía sospechas de que podían estar controlando las llamadas, los mensajes, la ubicación, los whatsapps, ...
Figura 1: ¿me controlan con mi teléfono?
Me ha preguntado si eso se podía hacer, y le he dicho que legalmente no pero que técnicamente si, por lo que hemos decidido analizar el móvil para ver que encontramos, ya que podría tener instalado algún R.A.T. (mas información en estos enlaces):
Figura 2: Comprando un RAT para espiar a empleados, hijos, pareja, ...


Figura 3: Controlando nuestro móvil para "hacer el mal"

Para asegurarnos de la existencia de la posible troyanización, he descargado del PLAY STORE la app de VirusTotal para analizar todas las apps instaladas y los servicios que tenía el móvil. Este ha sido el resultado:
Figura 4: En el análisis ha salido solo una app sospechosa

  •  En el análisis ha salido solo una app sospechosa
Figura 5: un motor de búsqueda de virus de 56  ha detectado algo
  • El análisis que ha hecho la app de VirusTotal ha sido en 56 motores de búsqueda distintos y uno de ellos ha dado positivo

Figura 6: detalle de la posible infección encontrada
  • Aparentemente es una puerta trasera (backdoor) la que trae instalada este juego de tetris
Analizando un poco más la configuración del terminal, me ha llamado la atención que la cuenta asociada al mismo de GMAIL tenía este aspecto:

Figura 7: detalle del nombre de cuenta asociado al dispositivo
El nombre de la cuenta de GMAIL configurada en el móvil (que es la usada para hacer descargas en la PLAY STORE, poder hacer localización del mismo mediante la aplicación genérica de "Localización del dipositivo", poder bloquearlo remotamente, ...) tenía el nombre de 13 caracteres aparentemente aleatorios. Mi cliente no sabía de quien era esa cuenta, pues su dirección de correo de GMAIL es otra distinta. A partir de aquí hemos empezado a sospechar:

Figura 8: do you not find this highly suspicious?
El cliente me asegura que nadie ha tocado su teléfono a parte de él, que no ha descargado nada, ... Pero para asegurarnos he seguido el siguiente proceso:

  1. informar de lo encontrado al cliente y recomendación de que haga una visita a la Guardia Civil
  2. tras hablar con el responsable de delitos telémáticos, restauración del móvil a valores de fábrica
  3. instalación del firmware que el fabricante ofrece en su web oficial
  4. creación de nueva cuenta de GMAIL
  5. desactivación del GPS
  6. desactivación de la zona WIFI
  7. instalación de antivirus
  8. limpieza de datos de la SD
  9. charla de "recomendaciones" y concienciación al cliente

Esperemos que todo esté resuelto.

Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , , ,

martes, 19 de mayo de 2015

Comprando un RAT para espiar a empleados, hijos, pareja, ...

Siguiendo con el tema de ayer, en el que os comentaba que nuestro teléfono móvil puede ser troyanizado para convertirse en un bot, tal vez podáis pensar que solo es posible que hagan eso grupos de ciberdelincuentes o mafias organizadas que explotan las nuevas tecnologías para llevar a cabo su delitos y lucrarse con ello.

Con un poco de imaginación y paranoia podíamos buscar un culpable, tal vez las mafias chinas o de Europa del este que están tan de moda, o la NSA americana para tener datos nuestros. Igual es Google, Amazon o Apple para conocer nuestros gustos comerciales y darnos esa publicidad no solicitada.
Figura 1: Android nos confiesa que en ocasiones se siente vigilado

Pero, ¿y si te digo que este tipo de malware está a la mano de todo el mundo? ¿que cualquier persona puede comprarlo e instalarlo en su propio teléfono o en el de empleado o jefe, pareja o hijos?

Buscando en internet la oferta de empresas que venden este tipo de aplicaciones no es pequeña. Existen multitud de ellas en distintos idiomas y con tablas de compatibilidad de modelos de teléfonos. Te venden un ficherito que ejecutas en el teléfono (o lo mandas por mail, whatsapp, enlace, ... para que la "víctima" lo haga), y tiene un frontend, un panel de control que desde tu ordenador, tablet o smartphone te muestra todos los posibles ataques que podemos hacer. La lista de opciones no es pequeña, puedes hacer de todo con el teléfono infectado:

Espiar Llamadas
  • Escuchar llamadas en vivo
  • Grabar llamadas
  • Registrar llamadas
  • Registro de Llamadas VOIP4
  • Escuchar sonido ambiente
  • Grabar el ambiente
  • SpyCam para FaceTime

Espiar Mensajes
  • Leer mensajes SMS
  • Enviar SMS falsos
  • Leer E-mails

Espiar Passwords
  • Espiar claves de acceso
  • Espiar contraseñas de aplicaciones
  • Espiar contraseñas de email

Espiar en GPS
  • Ver & Rastrear Ubicaciones GPS

Espiar Chats 
  • WhatsApp
  • Facebook / FB Messenger
  • Viber
  • LINE
  • Skype
  • WeChat
  • iMessage
  • BBM
  • Blackberry PIN
  • Yahoo Messenger
  • Snapchat
  • Hangouts 

Espiar Remotamente
  • Tomar una foto usando la cámara
  • Reiniciar Dispositivo
  • Comprobar estado de batería del dispositivo
  • Control Remoto por SMS

Y mil funciones mas que no pongo por no alargar el post. Como veis, se convierte en un auténtico bot, lo puedes tener sometido a tu voluntad.
Figura 2: rastreo GPS de lugares desde los que se han mandado twits

Si como tecnología ves que está muy bien, muy completo, pero piensas que es complejo, todo lo contrario es muy sencillo de usar. ¿Y el precio? desde $15 tienes la posibilidad de comprarlo. Yo alguna web que he visitado también los he visto por $49,95 con licencia para un mes, $168 con licencia de por vida, ... precios muy asequibles para casi cualquier bolsillo.

Y ahora la parte comercial. Estos son algunos de los argumentos de venta que he leído:
  • Programa XXXX se está convirtiendo rápidamente en el programa de rastreo de teléfonos móviles más popular. Si realmente teme que su pareja lo está engañando o si se preocupa porque su hijo se ha vuelto callado o está deprimido, definitivamente éste es su programa
  • El mejor programa para espiar móviles por internet desde el ordenador, para saber si su pareja le engaña o es infiel. Ya no es necesario un investigador privado
  • ¿Eres una pareja celosa, un padre cuidadoso, o un jefe preocupado? ¿Necesitas confirmar que tu pareja es sexualmente fiel, que tu hijo está seguro o que tus empleados mantienen un buen comportamiento? Espía en sus smartphones o iPad y deja de dudar. O protégete si no es así.

Todo esto se ve muy turbio!!! 


1. «El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Figura 3: artículo 197 del código penal
¿Qué nos dicen en las web de venta de este programa sobre la legalidad?

Programa YYYY es perfectamente legal para instalar en su propio teléfono como principal solución de copia de seguridad . Pero por favor, asegúrese de que tiene permiso explícito de la persona cuyo teléfono se le supervisando y cuyo teléfono va a requerir físicamente con el fin de instalar físicamente Programa YYYY a ella antes de seguir adelante . Por otra parte, en caso de duda , revisar sus leyes locales del país y lea nuestro aviso legal aquí .
Visto lo visto, ahora la parte productiva:
Recomendaciones si tenéis un  iPhone:
  • tened controlado el terminal en todo momento
  • con passcode complejo
  • sin Siri
  • actualizado a la última versión
  • sin jailbreak 


Si tienes un Android:
  • tened controlado el terminal en todo momento
  • con passcode complejo
  • actualizado a la última versión
  • evita bajarte apps con permisos raros
  • pon un antimalware
  • evita rootear el teléfono
  • presta atención a la versión WhtasApp que te bajas (que sea del canal oficial)

Y unos enlaces para complementar la información:

Figura 4: entrada del blog elladodelmal : Troyano para espiar un Android
Vídeo 1: Chema Alonso y Jordi Évole troyanizando un móvil


Saludos!
Publicado por en 3 comentarios:
Etiquetas: , , , , ,

Controlando nuestro móvil para "hacer el mal"

Ante la reciente oleada de móviles (smartphones) y táblets que nos han llegado a nuestro taller para reparaciones de tipo software (dispositivos que se bloquean, que no inician, que no apagan, que no dejan trabajar por avalanchas de mensajes de error y publicidad, ...), hemos investigado acerca del manejo que nuestros clientes hacen de estos dispositivos.

Por regla general se entiende que si un dispositivo trae Android, podemos ir a la Play Store y descargar juegos, programas y demás contenido por que son gratuitos. Bueno, no es que podamos, sino que "debemos" descargar todo contenido que pase por nuestra pantalla y nuestra memoria ROM nos permita. Para eso están. 

Pero, ¿podemos confiar en los orígenes de esas aplicaciones? ¿podemos fiarnos de que la finalidad de esas aplicaciones son las que el fabricante dice ser?

La respuesta es un rotundo NO.

¿Hay algo realmente gratis? yo nunca lo he visto. Si que es cierto que hay aplicaciones que tienen dos versiones, la PRO y la FREE, y el desarrollador nos ofrece esa versión FREE con la finalidad de que probemos las características del producto, con ciertas opciones "capadas", limitadas o deshabilitadas, y si nos gusta podemos comprar la versión PRO.

Fuera de esta política de uso, el fabricante casi siempre va a ganar algo con nuestra descarga e instalación. Puede que simplemente se lucre al incluirnos Ads publicitarios. Pero la realidad es que hay otras veces que se lucran con la instalación por que convierten nuestro smartphone en un bot

¿Qué es un BOT? Según wikipedia: Un bot (aféresis de robot) es un programa informático, imitando el comportamiento de un humano. O sea, un programa que instalado en nuestro dispositivo lo controla según las necesidades que un humano le haya dicho que haga. Comúnmente se denomina "zombie", por que ya no es un dispositivo normal como tal, si no que ejerce órdenes. En un teléfono las funciones interesantes para los malos son poder controlarlos remotamente:

  • hacernos fotos con nuestra cámara y enviarlas al ciberdelincuente
  • capturar nuestras contraseñas cuando accedemos al correo, facebook o twitter
  • grabar nuestras llamadas
  • saber donde estamos por el geoposicionamiento del GPS
  • ...

Este tipo de malware, que podría ser un troyano en un PC, se denomina RAT (Remote Administration Tool).

Os pongo un ejemplo de instalación de aplicación que podría resultar dañina para nuestro dispositivo:

Accedemos al Play Store y buscamos una aplicación para hacer bromas simulando que nos radiografía el teléfono la mano:

Figura 1: aplicación de broma con rayos x
 Al darle a INSTALAR, nos pide que aceptemos los permisos que queremos que esta aplicación tenga sobre nuestro teléfono (es recomendable leerlos, y alguna sorpresa os llevaréis):


Figura 2: permisos que hemos de aceptar para esta aplicación
Pero, si es de broma, ¿para que quiere hacer compras, saber quien somos, saber dónde estamos, acceder a todas nuestra fotos almacenadas, ...?
Figura 3: descripción de los permisos (primera pantalla)
Y sigue, y sigue, ..., acceder a la cámara y poder usarla, acceder a la información de las conexiones wifi y los nombres de los dispositivos, acceder a la identificación del dispositivo y al registro de llamadas!!!
Figura 4: descripción de los permisos (segunda pantalla)
Si antes de instalarla leemos los comentarios, vemos que un buen porcentaje de los votos es negativo, ya que a la gente no le da el resultado esperado, más que nada, porque la aplicación está más ocupada en mandar sus datos al dueño de la botnet que de hacer bromas:

Figura 5: comentarios de la aplicación

Ya para terminar, la parte productiva: 

Un vídeo de Chema explicando el funcionamiento de los botnets (redes de zombies):
Vídeo 1: Chema Alonso: Hackeando a los malos con sus propias armas

Figura 6: Troyano para espiar un Android o para espiar a través de él (Blog elladodelmal)
Resumiendo:
  • leed los permisos que concedéis a las aplicaciones que instaláis
  • no descarguéis por descargar
  • leed los comentarios antes de instalar
  • tal vez no sea buena idea que los niños pequeños usen nuestro teléfono de trabajo para su ocio. Hay táblets muy baratitas que aunque se llenen de publicidad, rats, troyanos y se convierta en un bot, no compromete nuestros datos personales (precaución con la cam y el micrófono) y podemos destinarlas al uso de los más pequeños.


Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,
Suscribirse a: Entradas (Atom)