iRecorder un nueva Gremlim Botnet en Android con una app que pasa de Gizmo a Mogwai

Nuestros amigos de ESET han publicado una investigación en la que han alertado al equipo de seguridad de Google Play de la existencia de una app, muy instalado por los usuarios, que se ha vuelto maliciosa. Es decir, una Gremlin App & Gremlin Botnet que ha pasado de ser un Gizmo cariñoso y amigable a convertirse en MogWai. En este caso la app se llama iRecorder.

Figura 1: iRecorder un nueva Gremlim Botnet en Android

con una app que pasa de Gizmo a Mogwai

Esta app, que es una herramienta que permite grabar la pantalla de los sistemas operativos Android es muy popular, y tenía una valoración en Google Play de 4.2. Durante mucho tiempo no ha tenido ninguna función maliciosa, pero, como sucede con el negocio de las Gremlin Apps & Gremlin Botnets, alguien ha decidido convertirla en una botnet para espiar a los usuarios.

Figura 2: iRecorder en Google Play

De todo esto hemos estado hablando mucho tiempo, pero mucho más investigando. De hecho, en el año 2020, en la charla de Gremlin Botnets: El club de los poetas muertos, contamos la investigación que habíamos hecho años atrás sobre este tema. Puedes leer el artículo completo en el blog, y ver la charla que di en RootedCON 2020 o en Hack In The Box CyberWeek 2021.

Figura 3: Gremlin Apps & Gremlin Botnets

Muchos de los detalles qué descubrimos con este estudio los plasmó nuestro compañero en el libro de Malware en Android: Discovering, Reversing & Fonrensics que os recomiendo encarecidamente que leáis. No, que os estudiéis a fondo, si queréis entender todas este mundo del cibrecrimen en forma de apps móviles para Android, que publicó nuestro compañero Miguel Ángel del Moral - que fue uno de los investigadores del equipo que construyo Tacyt junto a Sergio de los Santos - después de haber realizado todas estas investigaciones.

Figura 4: Malware en Android: Discovering, Reversing & Forensics

En este caso, iRecorder solicitaba acceso a los permisos de acceso al micrófono y al carrete de fotos, así que más que fantástico para poder espiar la vida de las personas por medio de un troyano que lo metía en una botnet.

Figura 5: Parámetros de comunicación con el C&C

El bot de malware que se ha incluido en iRecorder está basado en AhMyth Android RAT (Remote Administration Tool), y en el análisis que han hecho los investigadores de ESET se pueden ver las conexiones con el C&C para solicitar los comandos a ejecutar en cada dispositivo.

Figura 6: iRecorder exfiltrando audios y fotos al C&C

El mundo de las Gremlin Apps y las Gremlin Botnets es algo con lo que llevamos viviendo más de una década, y por eso, son tan importantes los equipos de seguridad de Google Play & App Store y los procesos de revisión. Que una app lleve siendo buena mucho tiempo no quiera decir que lo vaya a ser siempre, y cualquier día cambia de dueño y....

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

"Evil never Sleeps" o cómo un malware tipo PEGASUS en tu iPhone podría funcionar incluso después de apagar el terminal

Este mes de Mayo se ha publicado un paper más que interesante, y que recomiendo que lo leáis con calma, que se ha titulado "Evil Neve Sleeps: When Wireless Malware Stays On After Turning Off iPhones" donde un equipo de Security Researchers se ha dedicado a estudiar la taxonomía de posibles ataques que se pueden realizar cuando un terminal iPhone esta apagado por su dueño, y piensa que está seguro contra cualquier malware o proceso de spyware en él. Error.

Figura 1: "Evil never Sleeps" o cómo un malware tipo PEGASUS

en tu iPhone podría funcionar incluso después de apagar el terminal

Es decir, el artículo explica en detalle todas las posibilidades por las que un malware, utilizando los servicios de iPhone & iPad con el sistema operativo iOS en modo desconectado - que siguen funcionando incluso cuando apagas el terminal - podrían seguir trabajando en pro del malware persistente en tu terminal que te estuviera espiando todo el rato y conectándose con su C&C.

Figura 2: "Evil Neve Sleeps: When Wireless Malware Stays On After Turning Off iPhones" 

Este artículo recoge un estudio completo de cómo un malware instalado en un terminal iPhone usando algunas vulnerabilidades que pudieran existir, tanto en iOS como en el firmare, podrían ser utilizadas para que un malware controlara tu terminal incluso cuando lo tienes apagado. 

Figura 3: Diseño de cómo sería el funcionamiento de Introspection en SmartPhone

Esto, que parece ciencia ficción no lo es para nada, y ya tiempo atrás - hace muchos años - Edward Snowden contaba cómo la NSA estaba trabajando en este tipo de aplicaciones espía, y que para evitar esto, la única solución es crear un dispositivo de análisis físico de señales, que él llamó "Introspection". 

Figura 4: Recomendaciones de protección física de comunicaciones en iPhone

En el artículo, explica cómo se debe utilizar una solución como Introspection que evite la comunicación de un malware latente que utilice las funciones LPM (Low Power Mode) de un terminal iPhone que se activan con el terminal OFF, como son las comunicaciones del servicio Find My o Digital Card Key (DCK) 3.0, basadas en los nuevos chip BlueTooth que soportan comandos BlueTooth Low Energy (BLE) y Ultra WideBand (UWB), como evolución de las comunicaciones Near Filed Communications (NFC)

Figura 5: Protocolos que quedan activos en modo LPM cuando iPhone está OFF

Este artículo analiza las posibilidades por las que, si un malware consiguiera un control total de uno de los tres elementos principales de la cadena en un terminal iPhone que mantienen la seguridad completa del sistema, como son:

• Apps privilegiadas con acceso a funciones LPM en modo OFF
• Firmware del terminal iPhone
• Hardware del terminal iPhone

Entonces, ese malware, podría seguir comunicándose incluso con el terminal apagado. Para ello, como podéis imaginar, no es nada sencillo, pero ya hemos visto ataques en el pasado que han tomado ventajas de vulnerabilidades en todos los niveles para hackear el terminal iPhone o iPad, como hemos visto muchas veces.

Figura 6: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Desde los primeros Jailbreak de los primeros iPhone, como fue el que uso el exploit limera1n que explotaba vulnerabilidades en el firmware y que no podía ser parcheado vía OTA, lo que lo hacía más que persistente, hasta los ataques de NAND Mirroring clonando el hardware y atacando el passcode para evitar el borrado de los datos, pasando por la infinidad de bugs en el sistema operativo iOS y sus apps que han permitido accesos privilegiados y Jailbreak. 

Figura 7: Modelo de Adversario que modifica el firmware del iPhone

Esto, que parece harto complicado, se puede realizar sin embargo mediante un proceso por el cual se aprovechan de una debilidad que ha incluido Apple en sus terminales, al permitir el patch de los nuevos chips de Bluetooth que se metan patches sin firmar, lo permite a los autores del artículo hacer una actualización del firmware de manera maliciosa, al estilo de los antiguos ataques de EvilGrade de Francisco Amato.

Figura 8: Modificación del firmware de Bluetooth con patches "unsigned"

Además, auditando en profundidad apps privilegiadas para el uso de funciones LPM en modo OFF, como es el caso de Find My, parece que no cumple promesa de seguridad que ofrece, dejando de funcionar el envío de paquetes de advertisement, y haciendo que el terminal se "pierda", lo que sería otra debilidad del sistema.

Figura 9: Malfuncionamiento de Find My

Todo este largo análisis que hace este artículo, al final abre un poco la paranoia del espionaje que abrió Edward Snowden en su momento. Si existen estas capacidades, y no hay forma de garantizar que alguien ha manipulado el hardware o que ha manipulado el software, o que hay un bug en una app con acceso privilegiado a las funciones LPM en modo OFF, entonces no hay forma de garantizar que no te hayan metido, por ejemplo, un PEGASUS. Y la siguiente derivada, ... ¿y si alguien ha dejado un bug a propósito en esas puertas para siempre tener acceso a todos los datos de todos los usuarios que tengan un terminal iPhone o iPad? 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

"Cómo protegerse de los peligros de Internet". Nuevo libro de @0xWord

Ayer se puso a disposición de todo el mundo el nuevo libro "Cómo protegerse de los peligros en Internet" en el que hemos estado trabajando en 0xWord. Se trata de un libro que nos habían pedido hace tiempo para que los niños que empiezan, las personas que no tienen grandes conocimientos técnicos, y aquellos que desean sacarle partido a los servicios de Internet con un poco de seguridad conociendo mejor al enemigo.

Figura 1: Cómo protegerse de los peligros en Internet

También le ha dedicado una parte importante a la privacidad, y a tratar temas tan de actualidad como el acoso en las redes sociales o el CyberBullying en Internet, cómo detectarlo y tratarlo en el mundo de hoy en día con los menores. El libro lo ha escrito José Carlos Gallego Cano y ésta es su reseña:

"En un mundo en continua digitalización, en el que Internet y los dispositivos forman una parte cada vez más relevante en nuestras vidas, es muy importante estar al día de los problemas y los riesgos a los que nos enfrentamos cuando nos comunicamos o, simplemente, cuando accedemos a la red para consultar información.

Este libro pretende dar un repaso por los principales riesgos a los que nos exponemos todos los usuarios cuando nos conectamos a Internet así como cuando hacemos uso de todas las tecnologías a nuestra disposición: ordenadores, dispositivos móviles, relojes inteligentes,…

Figura 2: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Lo hacemos dando un enfoque muy práctico, con un lenguaje asequible para todos, dirigido a jóvenes, mayores, padres e hijos, profesores, jubilados,…y, en general, todo aquel que esté interesado en adentrarse en el mundo de la ciberseguridad desde el nivel más básico.

Hablaremos de todo el malware que nos rodea (los virus, los troyanos), las técnicas que utilizan los ciberdelincuentes para timarnos y robarnos información, las medidas que podemos tomar para protegernos y salvaguardar nuestra privacidad…y todo ello sin olvidarnos de temas tan importantes para los más jóvenes como el ciberacoso y la protección de sus datos y, por supuesto, de los padres, para que estén al corriente de por dónde navegan sus hijos y cómo pueden protegerlos. Un libro para aprender y, sobre todo, para concienciar que la seguridad en Internet es cosa de todos."

El libro tiene un total de 248 páginas para tratar todos tos temas de los hemos hablado está ya disponible en la web de 0xWord, y con el objeto de que podáis tener más detalle, os he subido el índice completo del libro a SlideShare.

Figura 3: Índice del Libro "Cómo protegerse de los peligros en Internet"

Como podréis ver en el libro, en los últimos capítulos se habla del Control Parental de los menores, de las Sextorsiones y el Sexting, o de cómo gestionar la identidad y la reputación en los servicios de Internet. Temas más que recomendables que conocer bien para cualquiera que haga un uso de redes sociales y servicios en Internet habitual.

¡Saludos Malignos!

¿Sospechas que alguien te espía el teléfono móvil? Averígualo con el dump de mSpy

A mediados de Mayo se hizo público el hackeo de la empresa mSpy, una de las compañías que se dedica a crear programas de espionaje  para terminales móviles. Con este incidente de seguridad, todos los datos robados a las víctimas, así como los datos de las cuentas de acceso de los que espían quedaron expuestos en la red. A finales de ese mes empezó a circular la base de datos completa por la Deep Web y en foros de sitios menos abiertos. Si buscas bien puedes encontrarla, pero si lo que quieres saber es si alguno de tus contactos - del cuál ya sospechas - estaba en esa base de datos, ya puedes hacerlo fácilmente.

Figura 1: ¿Sospechas que alguien te espía el teléfono móvil? Averígualo con el dump de mSpy

Al final, de las 400.000 cuentas que originalmente se dijo que había en esa base de datos, el resultado es mucho mayor y hay 699.793 cuentas de mSpy expuestas. Toda esa base de datos está completamente guardada en el servicio Have I Been Pwned? donde puedes buscar si un determinado correo electrónico ha sido publicado en alguno de los volcados de bases de datos que se han producido a lo largo de los últimos años. De hecho, este servicio cuenta ya con más de 200 Millones de identidades digitales hackeadas.

Figura 2: Base de datos de mSpy incorporada al servicio Have I Been Pwned?

Si sospechas de que alguien te pueda estar espiando el teléfono móvil, puedes buscar todas las direcciones de correo electrónico que conozcas de élen Have I Been Pwned? y si por casualidad el sistema devuelve algo como esto que ves a continuación, es decir, que estaba en la base de mSpy, entonces te recomiendo que lleves tu terminal a hacer un análisis forense en alguna empresa de seguridad informática lo antes posible para ver si tienes el un troyano espía en tu dispositivo. No lo cuentes a nadie, ya que estos troyanos se pueden eliminar remotamente.

Figura 3: La cuenta de correo buscada estaba en la base de datos de mSpy

Ten cuidado, ya que el correo electrónico puede que aparezca en otra base de datos y acabes descubriendo que quería tener una aventura extra marital usando Adult Friend Finder o que simplemente le han robado la cuenta y es otra víctima. 

Figura 4: Sección de un volcado de cuentas de mSpy publicado en Pastebin

Dicho esto, si no aparece en esta base de datos, no quiere decir que no te estén espiando el terminal, ya que existen muchos programas de espionaje por todo el mundo , pero revisando las cuentas de usuarios de mSpy que aparecen en algunos listados de Pastebin (de hasta 7.128 cuentas) se puede comprobar como hay usuarios con dominios de todos los países - y en algunos países como España se ha hecho muy popular -, así que ten cuidado con tu teléfono móvil.

Figura 5: Panel de control de un troyano que permite espiar WhatsApp

Si tienes sospechas, lo mejor es que hagas un análisis forense del terminal con una empresa de peritaje informático - si quieres aprender a hacerlo tú, en este libro se explica cómo hacer un análisis forense a un smartphone -. En el siguiente vídeo resumí para un programa de televisión cómo funciona este programa, tal y como puedes ver aquí.

Figura 6: Demostracion de cómo funciona mSpy
Hay muchos programas distintos para espiar toda tu vida en los dispositivos iPhone  (sí, en iPhone también) y en los sistemas operativos Android. Nunca sabes quién va a querer espiar tu vida a través de uno de estos.

Saludos Malignos!

Hacked Hacking Team: España, Brasil, México, Colombia, Ecuador y Chile entre los clientes

Supongo que a estas horas todos ya estaréis más que informados del 0wnage que se ha producido en la empresa italiana Hacking Team, dedicada a crear software de espionaje para que sea utilizado por fuerzas de seguridad de países - según ellos - de los buenos. El hackeo ha sido de tal tamaño que incluso Hacking Team - o Hacked Team como han sido llamados por los intrusos - ha tenido que pedir a sus clientes que dejen de utilizar el software por miedo a un compromiso de los binarios que se estén utilizando.

Figura 1: Hacked Hacking Team

Información sobre el software de la compañía Hacking Team ya había sido robado y filtrado de los servidores de la empresa tiempo atrás, permitiendo que se conociera mucho de cómo funciona el sistema RCS (Remote Control System) para infectar equipos y dispositivos móviles así como para controlarlos remotamente.

Figura 2: Información filtrada tiempo atrás del funcionamiento de RCS

En esta ocasión, según parece, los atacantes fueron capaces de llegar hasta el corazón de un par de equipos de los administradores de la empresa y desde ahí acceder a todo lo que quisieron, para robar 400 GB de datos y hasta las cuentas de Twitter desde las que publicaron los primeros documentos filtrados.

Figura 3: Información del hackeo publicada en la cuenta de Hacking Team hackeada

Al poco empezaron a aparecer copias fraudulentas de los supuestos documentos, pero a día de hoy están todos recopilados en el siguiente servidor, desde el que se puede acceder no solo a documentación, sino también a correos personales y los binarios del software de RCS.

Figura 4: El repositorio con todo lo publicado. Correos electrónicos incluidos

Se ha confirmado, como ya se sabía, que entre otras cosas tienen software para espiar los sistemas operativos de iPhone que tengan jailbreak, algo que incluso se puede llegar a realizar desde un sistema operativo Windows u OS X que esté pareado con un dispositivo iPhone haciendo primero el jailbreak y luego instalando el troyano. 

Figura 5: El software de Hacking Team tiene la capacidad de hacker jailbreak e infectar después

Lo que más controversia y daño ha generado mediaticamente ha sido la publicación de la lista de clientes, donde por supuesto está España junto con una lista de países bastante larga como Brasil, México - que ha comprado en varios estados como Puebla o Queretaro -, Chile, Ecuador o Colombia. Un negocio en total de unos 42 Millones de €.

Figura 6: Lista de clientes con sus precios incluidos filtrado

Una buena lista de organismos que han conocido por los medios que el software de Hacking Team tenía un "control remoto" para que la compañía pudiera gestionar ciertas características. Es decir, que el software instalado por los clientes de Hacking Team seguía estando controlado por Hacking Team, algo que está generando muchas ampollas. Quiero recordar que, en muchos países, los cuerpos de seguridad del estado están autorizados al uso de este tipo de programas para determinadas operaciones.

Saludos Malignos!

Facebook YA sabe que te gusta. No hace falta que le des al "Like"

Cuando aún está caliente el escándalo de espionaje de Google a los usuarios saltándose los estándares de Do Not Tack levantado por el Wall Street Journal que le llevaron a tener una multa en EEUU por la FTC y a que se le abra causa en el Reino Unido por una denuncia masiva de los usuarios, ayer tuvimos a Facebook como protagonista de un nuevo escándalo relativo a la privacidad, en esta ocasión. Mientras que la compañía está inmersa en hacer un negocio con las llamadas en WhatsApp, la recogida de datos sigue siendo el mantra fundamental para la empresa y esto, según informa The Guardian, se les ha ido de las manos sobrepasando las leyes de protección de datos europeas.

Figura 1: Facebook ya lo sabe...

El asunto es que, tras los últimos ajustes a sus términos y condiciones del servicio, la compañía se lleva todos los datos que están a su alcance, ya sea mediante los programas que tiene en su página Facebook o en sus apps, o mediante los códigos que sitios web o apps de terceros integran para que sus usuarios puedan dar al Like o compartir el contenido en la plataforma de la red social. Los códigos que las webs de terceros, o los apps, integran en forma de widgets de conexión a Facebook son aplicaciones que, una vez cargadas, pueden acceder a la información del dispositivo (haciendo un device fingerprinting que les permita calcular la huella digital) o la cookie de sesión de Facebook del ese usuario. 

Figura 2: La red de captura de datos para hacer las bases de datos de usuarios

Accediendo a las cookies de Facebook, accediendo a la información del dispositivo desde el que te conectas y sabiendo dónde se está sirviendo el widget, Facebook puede saber todas las páginas que estás visitando solo porque en ellas el creador de la web ha insertado los programas de integración con Facebook. Este device fingerprinting le permite a Facebook hacer un registro de huellas digitales de conexiones - incluso si no estás conectado con la cuenta de Facebook mientras navegas por esa página web - que les permite saber quién está detrás de cada visita a cada página sin que estés conectado.

Figura 3: Una de las librerías de Facebook integrada en muchas webs de terceros

Todo esto no es nada más que la utilización masiva de la huella digital de la conexión de cada usuario para poder conocer más hábitos de navegación y servir publicidad más efectiva y dirigida - como el spyware en sus orígenes -. Según dice la Comisión de la Privacidad de Bélgica que está investigando a Facebook:

"To be clear: the changes introduced in 2015 weren’t all that drastic. Most of Facebook’s “new” policies and terms are simply old practices made more explicit. Our analysis indicates, however, that Facebook is acting in violation of European law."

El negocio de Facebook son los datos y sin datos no hay negocio (como el de saber la fecha de tu muerte), así que no hay sorpresa alguna en que la compañía estuviera siendo tan agresiva. Según cita El País, la compañía del Like ha dicho que no están de acuerdo con estas apreciaciones, que es verdad que ellos utilizan cookies "como todo el mundo" pero que los usuarios pueden prohibir que se les ofrezcan productos basándose en sus hábitos de navegación firmado el acuerdo EDAA.

Figura 4: Mensaje de Do Not Track que muestra Chrome
cuando se activa en "Settings -> Advanced -> Privacy"

Lo cierto es que el uso de cookies es bastante normal, lo que no lo es sin embargo es que se capture desde cualquier página la huella digital de la conexión y se envíe a los servidores de Facebook, ya que eso supone una "cookie" en sí misma de la que el usuario difícilmente puede desligarse. En cualquier caso, sigue siendo recomendable marcar en el navegador la opción de Do Not Track para que si alguna empresa es pillada accediendo a información de tracking cuando esté seleccionado esta opción le caiga una buena multa. Según El País, la AEPD tamibén está investigando de oficio también este tema, así que habrá que esperar a ver cuáles son sus conclusiones.

Saludos Malignos!

Detekt: ¿Hay alguien espiándome en mi ordenador?

Ya hace mucho tiempo que salieron a la luz pública casos de espionaje de gobiernos a ciudadanos por medio de software especialmente creado para espionaje gubernamental. Ahora Amnistía Internacional, Electronic Frontier Foundation y otras organizaciones pro-derechos civiles ha lanzado Detekt, una herramienta creada por Claudio Guarnieri para ayudar a encontrar software de espionaje utilizado en equipos de personales.

Figura 1: ¿Hay alguien espiándome en mi ordenador?

Dentro del desarrollo de soluciones R.A.T. (Remote Administration Tools) existen algunas que son más del mundo underground hechas por hacktivistas para sus acciones de reivindicación, otras que son generadas por grupos de cibercrimen que pueden ir desde soluciones amateurs hasta bots profesionales que se comercialización, algunas hechas a medida para operaciones A.P.T. contra objetivos concretos - famosos son los ataques contra los grupos pro-Tibet y el Dalai Lama - y otras que se hacen para comercializar en gobiernos y cuerpos de seguridad del estado.

El software de espionaje comercial

Este último, el software de espionaje gubernamental es un sector en el que se posicionan algunas empresas para cubrir las necesidades que en algunos países tienen los gobiernos que han legalizado este tipo de técnicas, como por ejemplo en Holanda y Alemania donde los cuerpos de seguridad del estado puede utilizar estos programas baja la supervisión judicial. Por supuesto, como denunció Reporteros sin Fronteras, también acaban siendo utilizados por gobiernos totalitarios que persiguen a disidentes sin ningún control. De las empresas que hacen este tipo de software hay algunas que se han hecho muy populares por incidentes y filtraciones recientes.

Figura 2: Funcionamiento de FinFisher/FinSpy Mobile

El primero que saltó a los medios de comunicación masiva fue el caso de FinFisher y su software de monitorización móvil FinSpy que desarrolla la empresa Gamma International. Este software fue descubierto en las revueltas de la primavera árabe en Egipto, y desde entonces ha estado en el centro de la noticia. En un análisis posterior de la herramienta se descubrieron paneles de control en 25 países por todo el mundo, lo que dejaba al descubierto más o menos qué organizaciones y/o países estaban utilizando dichos programas.

Figura 3: Ubicaciones en las que se encontraron paneles de FinFisher

Por supuesto, en el mundo de la seguridad se le sigue la pista a FinFisher & FinSpy desde hace tiempo, ya que el truco de Masque utilizando provisioning profiles - no suplantando apps, pero si metiendo fake apps - para infectar terminales iPhone con software de espionaje ya lo usaban ellos hace tiempo, y en los equipos Windows llegaron a utilizar a Mozilla Firefox para colarse dentro de los sistemas.

Figura 4: Panel de análisis de Hacking Team RCS 9

Otro de los software comerciales posicionados como R.A.T.s gubernamentales es el famoso RCS de Hacking Team, que recientemente ha sufrido una filtración de su documentación permitiendo saber exactamente cómo funciona este software. Entre los trucos que usan este último están los ataques de fake AP en redes WiFi para infectar equipo o el último de hacer Jailbreak a los terminales iPhone desde un equipo Windows pareado para poder infectarlo con el bot de RCS.

Por supuesto estos no son los únicos programas espías que se venden, ni las únicas empresas que los desarrollan. Ya vimos hace tiempo cuando Anonymous hackeó la empresa HBGary como ellos desarrollaban herramientas como 12 Monkeys o Task.B para troyanizar equipos infectados.

¿Qué hace Detekt?

Detekt es un software desarrollado en Python para buscar los rastros de FinFisher/FinSpy & Hacking Team RCS dentro del equipo, además de algún otra R.A.T. popular como DarkComet, Por supuesto, después de toda la información que se ha hecho pública de ambas familias se conoce mucho de ellos ya que de FinFisher se filtró el código completo y de HackingTeam RCS toda la documentación, así que si se lanza en un equipo infectado, entonces es posible que sepa si hay alguno de ellos actualmente instalados en el equipo.

Figura 5: Funcionamiento de Detetk. Te recomienda hacerlo offline

La pregunta que mucha gente se hace es si es fiable o no. La respuesta es que no es 100% fiable, por supuesto. En primer lugar los creadores de los RATs que busca este software están acostumbrados a lidiar con software antimalware desde hace mucho tiempo, y está claro que harán los deberes para primero hacerse indetectables y segundo atacar e inutilizar este software en los equipos en los que se vaya a utilizar. 

No hay que olvidar que este software de espionaje tiene conexión directa con el panel de control y puede mutar a gusto, cambiar los binarios, modificarse en caliente, etcétera. Nada sencillo para detectarlo en un equipo vivo. De hecho, mi solución contra este tipo de casos es la que os propuse en en un artículo que decía que una buena política antimalware y antiAPTs debe mirar en el pasado, analizando instantáneas pasadas de los sistemas informáticos de una organización.

Figura 6: Propuesta de análisis de copias de seguridad para detectar bots mutados

Sea como fuere, esto es un juego del gato y el ratón, así que si tienes un equipo del que sospechas pueda haber sido infectado con FinFisher/FinSpy o Hacking Team RCS mejor que pases un antimalware actualizado y pruebes Detekt antes que no hacer nada, pero lo suyo sería que le hicieras un buen análisis forense a ver qué sale de ahí, y que antes de llegar a ese punto tengas fortificado al máximo tu Windows. A día de hoy Detekt sólo funciona en Windows en versiones anteriores a Windows 8.1.

Saludos Malignos!

Cómo funciona el software de espionaje de Hacking Team

El periodista Gleen Greenwall ha publicado en The Intercept una serie de manuales pertenecientes a la empresa italiana Hacking Team. Esta compañía se dedica a comercializar, al igual que hace por ejemplo FinFisher, software para espionaje gubernamental. Según ellos, han vendido sus sistemas en 40 países en los 5 continentes de nuestro planeta.

Figura 1: Filtrados los manuales y guías de Hacking Tema RCS 9

Con estas guías que han sido filtradas - datadas en 2013 - puedes ver cómo funciona la herramienta para los técnicos de campo en la Guía para Técnicos, donde se explica cómo montar las operaciones, la Guía del Administrador del Sistema donde se cuenta cómo funciona el sistema completo, la Guía del Administrador de las operaciones y la Guía del Analista de la información. Además de algunos docs extra como un par de changelogs y un Informe de Invisibilidad. Material digno de analizar. Éste es un pequeño resumen de todo lo que puedes leer allí.

RCS (Remote Control System) 9

Las guías que se han filtrado hacen referencia a Remote Control System, la versión R.A.T. (Remote Administrator Tool) que comercializan como software de espionaje de objetivos para cuerpos y fuerzas de seguridad. Este sistema se bas en infectar equipos por medio de lo que llaman Network Injectors, que sirven exploits y agentes de infección a los equipos objetivos, ya sean terminales móviles o sistemas operativos. En la guía para los técnicos se puede ver cómo funciona este software.

Figura 2: El Tactical Control Center y los Network Injectors para meter el agente

El sistema RCS 9 de Hacking Team inyecta el software malicioso vía ataques de red usando puntos de acceso Rogue WiFi clonados para lanzar falsas actualizaciones en entornos de Evil Grade como hace FinFisher, ataques man in the middle comunes para inyectar descargas en navegación web, etcétera. Lo que van a enviar puede ser distinto en cada caso, desde una falsa actualización, una descarga forzada vía técnicas de phishing o un exploit que comprometa la seguridad del cliente para inyectar el agente de monitorización.

Figura 3: Configuración del agente a través de la consola de RCS

Estos agentes salieron a la palestra no hace mucho tiempo porque habían creado un mecanismo para infectar terminales iPhone a través del sistema operativo pareado. Estos agentes, cuando se conecta el terminal iOS al equipo realizan directamente el jailbreak para conseguir meter un troyano de espionaje en iOS sin la protección de codesigning de Apple.

Figura 4: Infección de iPhone haciendo jailbreak al dispositivo desde el equipo pareado

Para eludir mejor las protecciones que pudieran suponer los antivirus, el manual recomienda comprar software de firmado de código de Verisign (Symantec), Thawte o GoDaddy, lo que hace que el software de protección sea menos proclive a eliminarlos del sistema al venir firmados. Este es el truco que usó tiempo atrás Flame, que al venir firmado por Microsoft ningún antimalware se atrevía a bloquearlo.

Figura 5: Evidencias capturadas de un equipo controlado

Una vez que los objetivos están infectados, el sistema RCS funciona en primer lugar como una herramienta de recolección de evidencias con técnicas de análisis forense - al estilo de por ejemplo Oxygen Forensics -, es decir, trayéndose del dispositivo a decisión del administrador todo el contenido, o haciendo una captura selectiva por medio de elementos seleccionados o por medio de alertas. 

Figura 6: Evidencias de audio en RCS

Al igual que los R.A.T. para terminales móviles, permite capturar evidencias de todo tipo, como llamadas de teléfono en los dispositivos, sonido ambiente a través del micrófono, o realizar grabaciones con la cámara. Por supuesto, el agente reporta en todo momento lo que está pasado y funciona como una herramienta de monitorización en tiempo real que indica la ubicación exacta y los programas en ejecución en cada caso.

Figura 7: Análisis de ubicaciones de un objetivo infectado

Para los analistas del sistema, la consola es una herramienta de inteligencia en donde van a poder realizar búsquedas, establecer relaciones entre evidencias, hacer búsquedas de patrones, etcétera, como cualquier consola de búsqueda de conocimiento en datos desestructurados.

Figura 8: Análisis de relaciones con RCS de Hacking Team

Si te interesa conocer en detalle lo que se puede hacer con esta herramienta, para que sepas lo que pueden hacer esas 40 organizaciones en esos 5 continentes que lo habían comprado ya en el año 2011, puedes leerte en detalle las guías. Los documentos están disponibles para descarga en formato PDF, aunque las imágenes no se ven con muy buena calidad, en las siguientes URLs:

- Hacking Team RCS 9 Analyst’s Guide
- Hacking Team RCS 9 Administrator’s Guide
- Hacking Team RCS 9 Technician’s Guide
- Hacking Team RCS 9 System Administrator’s Guide
- Hacking Team RCS Invisibility Report
- Hacking Team RCS 9.0 Changelog
- Hacking Team RCS 9.1 Changelog

Recordad que este software ha tenido presencia en muchos de los incidentes que se cuentan en el informe sobre el espionaje gubernamental a disidentes y en algunos ejemplos de los incidentes de ciberespionaje entre países.

Saludos Malignos!

Unos pensamientos personales sobre buenos y malos

Cuando me piden participar en el evento X1RedMasSegura, hago lo que sea por estar allí. No me importa que sea en sábado o que haya pasado toda una semana de viaje trabajando por el otro confín del mundo. Busco un hueco y voy. Ese es uno de los pocos sitios en los que se tiene claro quiénes son los buenos y quiénes los malos en la red, y de la forma mejor posible se arma una agenda para intentar enseñar a todo el mundo sobre los malos que acechan en la red.

En otras partes no está tan claro, y no me deja de apenar cuando compañeros de profesión intentan justificar malas acciones contra los usuarios abusando hasta el extremo de los resquicios legales y excusas de dudosa credibilidad. Me apena y mucho, pero así es el mundo donde nos ha tocado lidiar.

Tus datos, tu bien económico

Cuando alguien me habla de los datos personales como si no fuera un bien económico, me hace sentir que piensa que soy un bobo. Como si de verdad él pensara que yo voy a tragarme que un dato personal no es una riqueza que debemos proteger, pues una vez que nos hayan desposeido de ella, nos los han quitado para siempre. Si alguien ya comercia con los datos de una persona, y gana dinero con ellos, ya nunca va a poder ganarlo ella.

Esto es así, porque probablemente una persona no se cambie de nombre en su vida, ni podrá volver a tener otra fecha de nacimiento, ni cambiará su número de identidad en los documentos oficiales, ni cambiará muchas veces de domicilio, ni de correo electrónico si es una persona normal, e incluso ni de número de teléfono. Los datos de una persona son de pocos o ningún cambio a lo largo de una vida, y si ya se tienen capturados, no merece la pena pagar por ellos.

Por ello la legislación es tan cuidadosa a la hora de su tratamiento y debe ser el dueño de los datos el que de forma consciente decida qué hacer con ellos. Se debe informar correctamente al usuario de la captura de todos ellos, de su protección y de su utilización, especialmente cuando esos datos se transfieren a terceros. Cuando una empresa dice que va a entregar los datos personales a "terceros" socios, esa cadena de confianza debe extenderse para el usuario.

No se puede decir que No

Cuando una empresa ofrece una app gratis, a cambio de la captura de los datos, debe quedar claro en los términos del servicio y el usuario debe tener la posibilidad de no aceptarlos. En apps en las que el usuario NO puede estar disconforme después de ser informado, está siendo forzado a aceptar algo que a lo mejor no desea.

Los creadores de crapware, adware o spyware para robar datos, utilizan técnicas como estas en la instalación de las apps. Éste es un cuadro de dialogo que supuestamente debe servir como contrato entre el usuario y una de las apps de la empresa de la que hablé el otro día.

Figura 1: Cuadro de aceptación sí o sí de la Política de privacidad.

Sin embargo, hay quien insiste en decir que eso es completamente legal. Son capaces de decir que el usuario debe poder ser capaz de matar la ejecución de la app en el sistema operativo sin aceptar. Esta segunda captura, es aún más significativa.

Figura 2: Pulse aceptar y no volverá a ver este mensaje

Y me apena. Me apena ver a compañeros de profesión intentando justificar malas acciones por parte de gente que abusa de los que menos saben.

Los envío a terceros sí o sí

Si el usuario no acepta esa política de privacidad, el creador de la app nunca podrá llevarse esos datos a sus servidores ni a ningún tercero que esté pagando al creado de la app por ellos. Esto, es algo que hace la app de Menéate que publiqué en el post del otro día. Algo ilegal, y que implica un robo de datos de sin consentimiento del usuario.

Figura 3: Los datos se envían a terceros incluso sin consentimiento del usuario

Compañeros de profesión insisten en justificar ese robo, bajo neglicencia o error de los creadores de las apps, que no han sabido darse cuenta de que la librería del servidor de publicidad que ellos integran y usan en sus apps para ganar dinero hace eso. Este es el comentario que he tenido que leer de un compañero de profesión, que por supuesto lo hace en anónimo.

Figura 4: Justificación de por qué se llevan los datos (por los que cobran) las apps 

Y me apena. Me apena ver como cargan todas las responsabilidades al usuario al que debemos defender y defienden al que gana dinero robándole los datos.

El bien a cambio del bien o nada a cambio de nada

Otra de las cosas importantes es que en el acuerdo - suponiendo que el usuario fuera consciente de la captura de los datos y accediera a ellos - hay de por medio una transacción: Una app o servicio a cambio de tus datos. Este es el motivo por el que el usuario va a entregar los datos y el valor económico que tiene la comercialización de los mismos al creador de la app. Si la app no funciona o no hace lo que dice, el contrato debe romperse o ser nulo.

Pero no es así, vemos que aún hay apps publicadas, descargables, y firmando acuerdos para llevarse datos, que están en otros markets de Android y que no funcionan, donde usuarios que acepten las condiciones de la política de seguridad, con mensajes tan claros como estos, verán como luego no hay nada.

Figura 5: Las mismas apps que Google Play ha tirado disponibles en 1mobile

Los datos volaron a la empresa y a los terceros, y luego no hay nada a cambio. Esto de robar un bien que tenga algún valor económico a cambio de algo que luego no se entrega, me parece cercano a ser lo que yo entiendo por una estafa.

Pero no, aún hay compañeros de profesión que ven en ello una persecución a las pobres personas que intentan ganarse la vida de esta forma, abriéndose un hueco en el mundo de la publicidad y el marketing.

Un punto y seguido

Al final los que se dedican a esta clase de turbios negocios, campan entre nosotros con malas artes, defendidos incluso por las esquinas de la ley que quieren hackear llevándola al límite, buscando los apoyos de gente que erosione la importancia de sus actos, con campañas de reputación y estirando hasta el máximo.

Yo prefiero tener muy claro en qué lado estoy y a quién tengo que ayudar, e ir a juntarme con los que también lo tienen claro a sitios como X1RedMásSegura y similares para seguir haciendo lo que hacemos. Esta semana espero contaros más cosas.

Saludos Malignos!