martes, septiembre 21, 2021

Social Worms & Frauds: WannaSAPP & WannaGRAM

El viernes pasado impartí mi conferencia en la HBSCON a la que me había comprometido, y aproveché para hablar de algo que habíamos construido en el equipo de Ideas Locas tiempo atrás, para demostrar el funcionamiento de los gusanos que se despliegan por WhatsApp o Telegram robando cuentas y datos de los usuarios. 

Figura 1: Social Worms & Frauds: WannaSAPP & WannaGRAM

La idea de estos gusanos es muy sencilla. Se trata de infectar un terminal inicial, al que llamaremos "Paciente Zero", una vez que consiguen esa cuenta de WhatsApp y Telegram, acceden a toda la lista de contactos - con las que tienen mucha o poca, pero al menos, cercanía -. Una vez que tenemos los números de teléfono de los contactos, la idea es robarles la cuenta a ellos para seguir expandiendo el gusano.

Figura 2: Esquema de robo de cuentas de WhatsApp/Telegram

Para ello, con un proceso en backend, por cada contacto de la lista que acaba de ser robada al Paciente Zero se intenta iniciar sesión en Telegram o WhatsApp, lo que provoca que le llegue un mensaje SMS de confirmación con un OTP para autorizar el login. El gusano, para conseguir ese Token OTP lo que hace es, usando el WhatsApp o Telegram del Paciente Zero enviarle un mensaje de ingeniería social vía WhatsApp o Telegram diciendo algo como:

- "Por error te he enviado un SMS con un número de lo-que-sea. ¿Me lo mandas?"

¿Cuántos contactos de la lista de contactos del paciente zero enviarán el Token OTP al WhatsApp o Telegram del Paciente Zero controlado por el gusano? Pues los que sean, pero en cuanto se pueda acceder a una nueva cuenta de WhatsApp o Telegram, el gusano repite el proceso de manera recursiva. 

Figura 3: WannaGram y WannaSapp

Para demostrar este proceso, y explicar una forma de conseguir el primer Paciente Zero, creamos en el equipo de Ideas Locas dos guanos de WhatsApp y Telegram llamados WannaSAPP y WannaGRAM, unas extensiones maliciosas de Mozilla Firefox para tomar control de navegadores en equipos compartidos. Estas extensiones hacen que, en el momento en que se inicie sesión en WhatsApp Web o Telegram Web, el gusano tenga su Paciente Zero y comience a vivir.


En la conferencia que podéis ver en el vídeo de arriba, podréis ver que la parte de "gusanizar" el ataque, es decir, de pasar del Paciente Zero al Paciente Uno la hacemos a mano, ya que no queríamos que se nos escapase por ahí un ataque con un gusano que cobrara vida propia, así que solo explico el paso de pasar de Paciente Zero a Paciente Uno, pero... os hacéis una idea.

Figura 5: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Por supuesto, no queríamos fomentar tampoco ningún ataque, y solo explicar cómo se han estado produciendo de verdad estos ataques, así que WannaGram y WannaSapp no está públicos. Creemos que es suficiente con que se vea su funcionamiento para entender lo que queríamos explicar, y lo mejor, es que estés informado de cómo protegerte de los peligros en Internet.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


3 comentarios:

  1. Muchas gracias por la información

    ResponderEliminar
  2. Gracias Chema sería maravilloso tenerte de guardián en mi móvil, sigo tus consejos de Seguridad. Un abrazo.

    ResponderEliminar
  3. A tener en cuenta. Muchas gracias Chema.

    ResponderEliminar