martes, enero 19, 2016

El espionaje en la pareja a través de herramientas de administración, antirrobo, control parental o seguridad

Ayer los periódicos nacionales hablaban de un nuevo caso de espionaje en la pareja en la que el hombre espiaba a su pareja por medio de una herramienta Antirrobo instalada en su terminal móvil. No se trataba de un troyano como tal, si no de un conocido Antitheft llamado Cerberus que permite prácticamente las mismas funciones de un troyano espía. Permite acceder a datos de terminal, a tomar fotografías remotas activando la webcam, a capturar audio, etcétera. ¿Cuál es la diferencia entonces entre un troyano espía o una herramienta de Antirrobo?

Figura 1: El espionaje en la pareja a través de herramientas
de administración, antirrobo, control parental o seguridad.

Esta guerra ya la hemos sufrido en el pasado, cuando en algunos países en Europa se han penalizado las herramientas y no su uso. Una herramienta de pentesting como Metasploit o nmap puede convertirse en una herramienta de intrusión en una empresa de forma ilegal, y por tanto utilizarse para cometer un delito. Es el uso que se le da a la herramienta y no su funcionamiento el que acaba de determinar si el acto es delictivo o no, por lo que criminalizar la herramienta es algo con bastante poco sentido.

Figura 2: Troyano StealthGenie graba las llamadas de teléfono

En el caso del espionaje en la pareja, hay herramientas que, como el troyano StealhGenie se posicionaba de esa forma. Una herramienta para espiar los terminales sin ser visto. Una herramienta para espiar el WhatsApp, grabar las conversaciones de audio y saber donde una persona está en todo momento. Posicionamiento similar al que utiliza FlexySpy, otro popular troyano en el mundo de los terminales móviles que, además, son tan fáciles de localizar como poner "Espiar Android" o "Espiar iPhone" en Google.

Figura 3: FlexiSpy ofrece todos estos servicios (entre otros)

No se diferencia mucho el funcionamiento de esos dos troyanos de MSpy, otra herramienta similar que se anuncia como una solución perfecta de "Control Parental". Hemos dejado el mundo del troyano para espiar y pasado al mundo del troyano para espiar si eres el tutor legal de la persona a la que vas a espiar el terminal móvil, pero el funcionamiento es similar. De hecho, cuando se produjo el volcado de las cuentas robadas de la empresa en Internet, mucha gente adulta y sin tutores, descubrió que estaba siendo espiado.
En el caso de la herramienta que ayer ocupaba prensa, radio y televisión, se trataba de Cerberus, una solución que hace lo mismo pero que no se posiciona ni como "Troyano para Espiar", ni como solución de "Control Parental", sino como herramienta "Antirrobo" y que para cualquier persona es tan fácil de conseguir como ir a la tienda de apps y descargarla. Es muy popular. En este artículo, un usuario la utilizaba para localizar a la persona que le acababa de "tomar prestado" el teléfono Android.
Soluciones Antirrobo que se puedan convertir en herramientas de espionaje hay muchas. De hecho, la gran mayoría de fabricantes de antivirus tienen, además del antimalware, una solución "Antitheft" incorporada. Servicios como AndroidLost permiten acceder a fotos y vídeos, tomar fotografías, leer los SMS, redirigir las llamadas o saber dónde se encuentra el terminal en todo momento. No tanto, pero el propio servicio de Find My iPhone permite también hacer acciones remotas sobre el terminal, y lo más importante, saber dónde está una persona en todo momento. De hecho, en el caso de Oleg Pliss se robaron cuentas de Apple iCloud masivamente para controlar terminales iPhone.

Figura 6: Algunas características del Antirrobo "AndroidLost"

En el caso del servicio de Find My iPhone de Apple, como está basado en la contraseña, se podría acceder directamente a los datos del backup del terminal en la nube. Esto es lo que sucedió con muchos famosos en el escándalo del Celebgate, donde para robar las cuentas de las celebrities se utilizaron técnicas de phishing mezcladas con ingeniería social. Una vez que tenían el usuario y la contraseña de Apple iCloud podían espiar continuamente el contenido del iPhone de la víctima desde el backup en la nube, además de saber en todo momento donde se encontraba. En este vídeo yo hice una demo de cómo se pueden descargar las fotos del backup de iCloud.


Figura 7: Demo de cómo robar con phising cuenta de iCloud y descargar fotos de iCloud

Pero es que casi cualquier herramienta se puede convertir en una herramienta espía si la persona que la lleva en el terminal no es consciente de ello y el que lo ha instalado tiene acceso a ella. En el mes de Septiembre yo os hablaba de un servidor web, llamado PAW Server, que permite a una persona conectarse remotamente a un terminal Android y controlar todos los ficheros, además de grabar vídeo y audio. Ni se comercializa como Troyano para Espiar, ni se comercializa como herramienta de Control Parental, ni como solución Antirrobo, ni nada similar.
En este caso, una Herramienta de Administración de tu sistema. Un simple servidor web para gestionar tu terminal desde Internet, que puede ser útil en casos en los que un Android, por ejemplo, se reutilice como sistema CCTV de vigilancia en tu casa, o como herramienta de monitorización del sueño de bebés. Tú decides el uso. Casos más flagrantes son los SDK que vienen con backdoors y que puede incluso que los programadores no lo sepan, como es el caso del server nanoHTTP oculto en muchas apps de Android. De estos dos casos hice demostración en la charla de Blues.


Figura 9: Blues en Codemotion 2015

Pero a veces para el espía en la pareja, la forma de obtener la información puede ser de lo más sencilla. Una simple carpeta compartida en Dropbox a la que accede el teléfono en todo momento puede revelar la dirección IP de acceso del cliente. Cualquier servicio de imágenes sincronizado, el acceso a un correo con carga de recursos remotos, o una app cualquiera que acceda a un servicio en la web que haga registro de direcciones IP le puede permitir a la persona que tiene acceso a ese log a controlar la ubicación de una persona.

Figura 10: Informe de actividad del iPad robado de Steve Jobs

En la recopilación de casos de ladrones en Modo EPIC_FAIL yo colecciono muchos casos donde se pilla al ladrón por herramientas de este tipo, pero hay mil formas de sacar remotamente información del uso de un dispositivo con herramientas al alcance de la mano de cualquiera. El más sorprendente es, para mí, el caso del ladrón que robó el iPad de Steve Jobs. De hecho, herramientas como WhatsSpy-Public o WhatsDog permiten que alguien monitorice los estados de conexión o no de una persona a los servidores de WhatsApp, lo que algunas personas usan para saber cuándo se levanta o se acuesta la persona espiada. Las herramientas, son públicas, gratuitas y accesibles. Es el uso que se de a estas es el que marca si es delictivo no. 

Figura 11: WhatsDog para Android

Al final, si alguien quiere espiar a su pareja, tiene al alcance de su mano muchas posibilidades si puede hacerse unos segundos con el dispositivo, así que hay que tener mucho cuidado con donde está tu smartphone. En el vídeo de arriba se puede ver que con el acceso unos segundos a un iPhone se podría extraer la sesión de Facebook desde un equipo pareado con el teléfono iPhone, que podría ser el de casa o el trabajo. Mil trucos de Hacking de iPhone o Android que son conocidos y públicos.


Figura 12: Robo de sesión de Facebook desde un equipo pareado

A la mínima sospecha, se debe llevar el terminal móvil a una empresa de seguridad a realizar un análisis forense, que los troyanos acaban apareciendo. En el caso de ayer la víctima se dio cuenta porque le resetearon el terminal en remoto, pero lo más fácil es que pasen cosas que no deberían pasar en tu vida si no se conociera la información que hay en tu teléfono.

Saludos Malignos!

8 comentarios:

TC dijo...

Está bien recalcar que ese tipo de conducta es además de violencia contra la libertad de la pareja, un delito penado por ley y tan lamentable que es considerado maltrato psicológico para la víctima que lo sufre. Uso responsable y ético siempre.

Fram Mart dijo...

esto es facil que legislen con especialistas en la materia y asi aclaren .si tu haces una instalacion electrica hay un ministerio de industria que dice lo que esta permitido y lo que no.Hay alguien en industria que se este preocupando sobre todo esto ?

Sebas Fernadez dijo...

En industria no se
Pero el equipo del lado del mal si jjjj

Gracias por la información

Anónimo dijo...

Necesito ayuda, mi expareja me esta controlando a traves de whatsapp, la ultima vez pude ver en su pantalla de movil el logo de whatsapp con una plataforma circular negra justo debajo, y al lado jna carpeta negra, alguien puede decirme que podria ser por favor, gracias.

LawtonBro dijo...

Hola, primeramente, este trabajo que haces maligno, es supremo!!!!!! sin palabras me quedo con cada post. Ahora UNA PREGUNTA: Esto de vender apps como FlexiSpy, es legal????? O como va eso... Saludos

Teresa Sáez Cuenca dijo...

Ilegal no creo que sea ninguna app, otra cosa es, como dice el maligno, el uso que se le pueda dar.

Por otro lado, tengo que decir que, si bien hay apps de este estilo que se "camuflan" diciendo que son para recuperar el móvil en caso de robo y tal pero que el mercado al que se dirigen en realidad es el de la gente que quiere espiar a otra gente, tengo que decir que en el caso de Cerberus no es así para nada.

Hace un tiempo un compañero y yo estuvimos haciendo pruebas con ella y, al detectar los de Cerberus que usábamos mucho determinadas opciones (lo normal si la tienes realmente instalada para encontrar tu móvil en caso de pérdida o robo es que no la uses casi nunca), se pusieron en contacto conmigo para decirme que me iban a bloquear la app y que si quería me devolvían la pasta.

NI después de explicarles todo y de decirles que podían contactar sin problemas con la persona cuyo móvil estábamos usando para tales pruebas para comprobar que, efectivamente, no estábamos haciendo ningún uso poco ético de su app, me la volvieron a desbloquear del todo.

Evidentmente, les dije que no hacía falta que me devolvieran la pasta, que me parecía justo contribuir al desarrollo de la aplicación y que disculparan las molestias que hubiéramos podido ocasionar.

Ese es el caso que conozco de primera mano. Las demás apps no las he probado, aunque algunas las conozco.

Emmanuel BF dijo...

Realmente como siempre lo has aclarado, llevamos un ordenador la mayoría del tiempo y no sabemos con qué fines o quien nos puede espiar. Entre menor información menor la tentación

Anónimo dijo...

Y la moraleja que nos deja Teresa con su historia es que los dueños de la herramientas como cerberus son espiados a su vez por la empresa que lo distribuye, 2 niveles de espionaje. Y todos asi espiados por los gobiernos y grandes empresas y trafico de datos privados gracias a depravados...

Entradas populares