jueves, diciembre 05, 2013

Un Juego de Android que roba los mensajes de WhatsApp

Hace un par de días llegó un comentario al post que tengo sobre "Cómo Espiar WhatsApp" en la que se hablaba de un servicio para robar la base de datos de WhatsApp mediante un falso juego para Android. La idea es tan sencilla como convencer a un amigo, compañero, pareja, hijo, enemigo, etcétera para que se instale ese juego para que le robe la base de datos de WhatsApp y luego poder consultar los mensajes a través de una página web que te cobrará por ello.

El juego no es más que un sencillo - y feo - en JavaScript que lleva incrustado un código Java que accede a la base de datos y las fotografías de las víctimas del engaño. Es decir, la definición clásica de un Caballo de Troya, dejas pasar un juego aparentemente inofensivo y este te roba los datos. Este esquema está descrito de igual forma para terminales iPhone en el libro de Hacking iOS, siguiendo un esquema similar al que utilizaron tanto Charlie Miller con InstaStock como el malware Find & Call para conseguir saltar todos los controles de seguridad de App Store.

Figura 1: Juego troyanizado para robar la base de datos de WhatsApp

La gran diferencia entre Google Play y App Store es que, mientras que en App Store los controles - aún lejos de ser perfectos - complican mucho la vida a los desarrolladores de app maliciosas, en Google Play esto parece un cachondeo. En el caso de WhatsApp ya vimos como casi todos los días aparecen nuevas apps maliciosas pretendiendo ser la popular app de mensajería en Google Play, y una app como ésta, orientada a robar los datos de los usuarios ni tan siquiera se oculta, tal y como se puede ver en las condiciones del servicio.

Supongo que asumiendo que "la policía es tonta", el servicio pone, como el que no quiere la cosa, que puede hacer una copia de seguridad de tus archivos, que luego dejará consultar vía una página web para que cualquiera pueda acceder a los mensajes robados sólo con poner el número de teléfono y pagar.

Figura 2: Condiciones de servicio donde se "informa" de la copia de archivos

Aprovechando que tenemos un equipo de investigación de Eleven Paths en Málaga, le pedí a mis compañeros de Eleven Paths que le echaran un vistazo a lo que me estaban enviando con el comentario. Con un poco de revisión por Internet se puede ver que este mismo mensaje o uno similar al que había sido dejado en mi blog había sido publicado en varios fotos utilizando nombres distintos, todos creados en fechas similares y más que probablemente desde las mismas direcciones IP.

Por supuesto, echando una ojeada a la app, se puede ver como el código no deja lugar a dudas de lo que va a hacer. Se puede ver fácilmente tras decompilar el Java que en esta sección se accede tanto a la base de datos, como a los ficheros enviados y recibidos.

Figura 3: Código del troyano que roba la base de datos de WhatsApps

Me preguntaba Jordi Évole en la entrevista si esto es legal, y lo cierto es que los que han creado esta app se deben sentir bastante impunes, ya que está creada desde una empresa sita en España que se publicita junto al servicio. Hablan de "copia de seguridad", pero directamente asocian esta app a un servicio para buscar los mensajes de WhatsApp robados y hacen campañas de spam con explicaciones claras de cómo funciona servicio.

No sé si la "policía es tonta" y se creerá que esto realmente es para jugar "y hacer una copia de seguridad de ficheros", pero lo que sí que creo es que Google Play debería hacer muchas más comprobaciones de seguridad, ya que con dar el permiso de acceso al almacenamiento cualquier app maliciosa puede llevarse la intimidad de tu WhatsApp.

Saludos Malignos!

Update: Tras hablar con el Google, han tirado la app de Google Play. Bien por ellos.

Figura 4: Google Play ha tirado la app

18 comentarios:

masticover dijo...

Aceptando los términos de servicio, los cuales especifican que "pueden" hacer una copia de seguridad, quedas expuesto a lo que quieran hacer con tus datos. Esto me recuerda a una cosa que leí por ahí que se llamaba algo como "Owning bad guys & mafia with Javascript botnets" XD
Tan sólo que la ética personal de los creadores no creo que sea la misma :(

Muy mal por Google. Pensaba que habían endurecido algo la política de publicación en el Google Play. Triste. ¡Esto es "Camboya"!

Saludos.

Ray dijo...

Bueno!... la verdad es que Google debe revisar su políticas en cuanto a la publicación de App, pienso que debería haber un equipo que pruebe cada app antes de ser aprobada, y que cada app que se publique tenga un periodo de 72 horas para su publicación, para que así el equipo de seguridad o equipo de analista encargado de revisión de app revisen su funcionamiento y código.

whatsappcopy dijo...

El servicio está orientado a guardar las conversaciones de tu whatsapp en los servidores para su consulta posterior. El mal uso del servicio es el delito no la aplicación en si misma ni la empresa que lo publica. Tal y como se dijo en el programa de Salvados. Quién busca un teléfono en la página está aceptando que es su teléfono y corre con todos los riesgos.

Alejandro Cañizares dijo...

Interesante artículo, gracias por la publicación.

Maligno dijo...

@Whatsappcopy, mira ni cumples la LOPD, ni la política de Google Play, ni nada. Sois una empresa de barcelona que ha hecho spam desde vuestra IP en foros con nombres falsos dejando claro que es una app para robar el whatsapp.

De los ficheros "hacéis copias" de seguridad pero los exponéis públicamente y eso no lo dice la app. He hablado con Cuerpos de Seguridad del Estado, Agencia de Protección de Datos y la gente de Google... Así que espero que nada, espero que lo tengáis en regla todo.. }:)

Saludos!

Anónimo dijo...

Dominio whatsappcopy.com creado el pasado 23 de noviembre. Datos de registro del dominio ocultos tras un servicio de Whois anónimo. ¿Qué tiene que esconder esta gente?

Anónimo dijo...

Sólo 2 cosas: qué huevos los de whatsappcopy. Y encima se intentan defender... maligno debes ser ya muy mediático cuando esto tío se han enterado ya del post.

Y la otra, es era precisamente, que con los contactos que tiene el maligno aparte de denunciar aquí debería también denunciar en la policía (y enseñarles los post donde se publicitan como empresa de spam), pero parece que llego tarde.

Anónimo dijo...

No había visto su web. Viene el tío aquí y dice "guardar las conversaciones de tu whatsapp en los servidores para su consulta posterior" pero en su página web pone "Espia el Whatsapp de un teléfono".

Definitivamente el individuo es de la Logse o quizá sólo un poco lento de mente porque no entiende la diferencia.

No te da pena, si el pobre ni sabe escribir: amijo ESPÍA LLEVA TILDE, lo han puesto ahí, en su sucia web, en toda la portada una falta de ortografía... como hagan así el código de sus aplicaciones no te quiero contar.

Daniel Paz dijo...

Yo creo que el problema es siempre que Nos olvidamos de Penny, porque quiza tu y yo no caigamos en algo tan basico, pero que hay de la gente que descarga todo lo que ve. Pienso que cuando se este por instalar algo como esto deberian aparecer unos "WARNING" grandes y coloridos que infundan temor.

Anónimo dijo...

Mecachis, ¿alguien ha hecho una captura de pantalla firmada por eGarante? Ya ha cambiado la descripción el desgraciado.

Anónimo dijo...

Además, ¿para qué querría alguien ver en una web ajena sus mensajes de WhatsApp pudiendo consultarlos en la misma aplicación del móvil?

Anónimo dijo...

Ta acojonado el niño, pero creo que se lo van a follar, le va a caer un puro que no veas porque ya es tarde.

Anónimo dijo...

Igual vale o igual no.

La cache de Google no da la página que el chavalín ha cambiado, pero la de bing sí.

Si buscas en la caché de Bing aun te sale la falta de ortografía de "Espia" para oprobio del personaje.

Saludos.

http://cc.bingj.com/cache.aspx?q=%22whatsappcopy.com%22&d=27025968684600270&mkt=es-ES&setlang=es-ES&w=_3cPssHBLTn-T1289ERVit-wxKF7Mo6K

Anónimo dijo...

leer todos los mensajes del whatsapp es más facil que quitarle un dule a un niño :3

Anónimo dijo...

Si se ve el codigo fuente de la web es copiado de plantilla, la jente se aburre.
view-source:http://www.whatsappcopy.com/

Chipi dijo...

pero para acceder a esos mensajes no haría falta que el terminal este rooteado? por que tengo entendido que si no la app no puede salir de su ruta local

Maligno dijo...

@Chipi, con tener acceso al almacenamiento es suficiente para la app...

Guillermo Ochoa dijo...

El otro día pasé el antivirus (G Data) del movil y en la aplicación Virtual Viewer me detectó un virus de monitorización de SMS que me quedé vizco. No recuerdo el nombre concreto del virus, pero leí que era un troyano bancario que miraba tus SMS en busca de las típicas claves de seguridad del banco.

Aunque la aplicación no está ya en mi movil, si algún día saco tiempo le echaré un vistazo. Esta app por supuesto está en el Play Store.

Con todo lo que se ve que meten en los moviles ahora Y LO QUE NOS QUEDA POR VER van a conseguir que me vuelva a los walkie talkies o los yogures con cuerdecilla.

https://play.google.com/store/apps/details?id=steffed.virtualviewer&hl=es

Entrada destacada

Esta semana comienza "ElevenPaths Talks Season 2"

Tras el buen funcionamiento que ha tenido ElevenPaths Talks , la iniciativa de nuestros CSA (Chief Security Ambassadors) de ElevenPaths d...

Entradas populares