La privacidad, como ya os hemos comentado en multitud de ocasiones, se encuentra a la orden del día. Nuestros dispositivos móviles se han convertido en una puerta de entrada más a nuestra vida privada, una vida que se mezcla cada vez más con nuestra vida real. Y no nos hace mucha gracia que se vea expuesta a ojos ajenos, algo perfectamente comprensible.
Sin embargo, ha llegado a nuestra redacción una aplicación que promete acceder por completo a todos los datos que tenga un dispositivo: un espía que captura toda tu información, y que se queda ahí esperando a que vayas revelando todos tus detalles. En El Androide Libre nos hemos atrevido a probarla, y os comentamos todo lo que tenéis que saber sobre estas aplicaciones que nos prometen ser verdaderos espías.
Qué nos promete la aplicación
El ejemplo que os traemos hoy, y del que no vamos a dar un nombre en concreto por motivos obvios, es una aplicación que se vende como el espía perfecto: capaz de capturar tus conversaciones de varias aplicaciones de mensajería, de grabar tus llamadas e incluso el ambiente en el que estás, conseguir tu localización, hacerse con tu lista de contactos…
-La pantalla principal del sitio web. Da acceso a toda la información recopilada, además de acceso a los parámetros que queramos guardar-
Y es el espía perfecto, para qué vamos a engañarnos. Es tan sencillo como descargar la aplicación desde su web (no esta en Google Play, primera cosa sospechosa), instalar aceptando una burrada de permisos (las alarmas están sonando…), introducir nuestros datos del servicio, y ocultar la aplicación del App Drawer para que no sea tan fácil de detectar por el usuario. Lo único que necesita el atacante son cinco minutos con acceso físico libre al dispositivo.
-Aplicaciones alcanzadas por la app espía-
Todos los datos que recopila van a parar a un servidor remoto en Tailandia, datos a los que podemos acceder con nuestra cuenta de usuario en su página web. Todo es accesible a través de una interfaz web, y los datos se pueden exportar a nuestro ordenador para su futuro análisis. Los datos no duran mucho tiempo en el servidor, alegando motivos de política empresarial.
El truco en este caso está en que, para acceder a muchos de los datos que la aplicación asegura conseguir sin problemas, tenemos que suscribirnos pagando dinero real: los precios varían según la licencia y el tiempo activo que queramos estar en la plataforma. Una de las muchas señales que parecen denotar que hay gato encerrado, aparte del cutre diseño que gasta la página.
-Precios (en oferta) del servicio-
Nos hemos puesto en contacto con el desarrollador para que nos diera acceso a la versión completa del servicio, con la intención de probar todas las funcionalidades que dice tener. No hemos recibido ninguna respuesta hasta ahora, por lo que hemos pasado a deducir sus funciones a partir del código que podemos analizar.
Qué es la aplicación en realidad
La primera sorpresa llega al analizar el .apk en conjunto: se trata de Android.Spyoo, un troyano para Android reconocido en las bases de datos de Symantec. Lo mejor de todo es que este troyano tiene la función de guardar y enviar datos concretos a un servidor remoto. ¿Qué curioso y conveniente, verdad?
-Clases de envío de datos al servidor-
No nos hemos quedado en la superficie, y también hemos analizado el código de la aplicación, para descubrir si hay más trucos, y si hace todo eso en realidad. Las primeras pruebas dan a entender que tiene la capacidad para recopilar todos esos datos que afirma capturar, pero el análisis del código es mucho más sorprendente de lo que nos esperábamos.
La aplicación se aprovecha del acceso root para cambiar los permisos de las carpetas que utilizan las aplicaciones de mensajería, haciendo que pasen a estar bajo el control de la aplicación. Para los entendidos en Linux, es como si hiciéramos un chmod 777 a todas esas carpetas, pero con código en vez de comandos. De esta forma sólo necesita preguntar una vez por los permisos root, y pasa desapercibido para el usuario el resto del tiempo.
-Clases «capturadoras» de notificaciones-
Todas las aplicaciones de mensajería comunes que utilices estarían comprometidas, en resumen: WhatsApp, Viber, Facebook, Skype, Yahoo! Messenger, Hangouts, BlackBerry Messenger, Line, KIK… y nos dejaremos algunas por el camino, aunque la peor parte se la llevan los usuarios de iOS, dado que es capaz de capturar hasta las pulsaciones del teclado.
Siguiendo con el tema de las aplicaciones de mensajería que son vulnerables, no sólo se limita a jugar con las carpetas, porque también se queda pendiente de las notificaciones para detectar las notificaciones que son mensajes. Es decir: las intercepta, almacena su información, y las deja continuar como si no hubiera pasado nada.
-Capturas de la aplicación Android funcionando (izquierda y centro) junto al verdadero System Service (derecha)-
Por otra parte, no sólo se queda con las aplicaciones de mensajería, porque la lista de datos que puede capturar es inmensa: registros de aplicaciones, llamadas, contactos, localización GPS, mensajes, fotos tomadas con la cámara, URLs visitadas… y lo más inquietante de todo, es capaz de grabar llamadas y activar el micrófono en cualquier momento para grabar lo que sea que se escuche en el ambiente.
Por si todo esto no fuera suficiente, se oculta en el sistema bajo nombres conocidos, con el objetivo de aparentar tranquilidad si buscamos los nombres. Por ejemplo, utiliza el nombre de FFmpeg para crear la carpeta donde guarda temporalmente los datos, y el proceso se llama «system_server» (como podéis ver en las capturas de Android) con el objetivo de parecer ser del sistema. Eso, y enmascarar las direcciones donde envía los datos con nombres conocidos como «iCloudApp».
-Clase sospechosamente vacía del «core»-
Y quizás lo más preocupante de todo es que, en nuestra búsqueda por más detalles, nos hemos topado con varios archivos de código en blanco, en una carpeta llamada «core». Parece que nos hemos encontrado con el núcleo de las funciones de la aplicación, pero por desgracia su código está oculto para hacer imposible su análisis.
Como veis, es capaz de sacar muchísimos datos de nuestro dispositivo, incluso del micrófono y de las cámaras. Por suerte, la vigilancia no llega al nivel de iOS (acceso completo al sistema y a las pulsaciones que hace el usuario, todo un riesgo para la seguridad) gracias a que Android ejecuta cada aplicación en un sandbox, y esta aplicación no tiene forma de salir de su caja de arena.
-Código que cambia permisos de las carpetas de Whatsapp-
Sin embargo, tener la aplicación funcionando en nuestro Android es un riesgo notable a nuestra privacidad y seguridad, como comprenderéis. Lo malo de esto es que no hay sólo una aplicación que se dedique a esto, porque podemos encontrar más de una exactamente igual si usamos el mismo nombre en una búsqueda.
-Panel de información del dispositivo en la web-
Y lo peor de todo es que es delito si lo utilizas en un dispositivo que no es tuyo, o si lo utiliza alguien que no sabe que está siendo espiado, algo que os comentamos ahora mismo.
Piensalo dos veces antes de hacerlo
Parejas celosas, jefes abusivos, padres controladores, amigos capullos… antes de que corráis a buscar la aplicación, os recomiendo que leáis este párrafo, porque os interesa mucho si vivís en España. En el sentido de que puedes ir a la cárcel si lo intentas, así que sigue leyendo.
El uso de este tipo de aplicaciones puede ser legítimo en casos específicos, pero la aplicación se anuncia como un espía que instalar en un dispositivo ajeno. Instalar una aplicación así en el teléfono de otra persona para acceder a sus comunicaciones es delito, en resumen. El caso sería dudoso en el caso de que se haga con el dispositivo móvil de un trabajador, sólo si se comunica con antelación al trabajador que su móvil está haciendo todo eso.
Eso que os acabo de comentar está considerado como un delito de revelación de secretos según el Artículo 197.1 del Código Penal, con penas de entre 1 y 4 años de prisión, y multas de 12 a 24 meses de duración. Además, vulnera la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (con posibles sanciones administrativas), y supondría una violación flagrante del derecho fundamental a la intimidad y el secreto de las comunicaciones, artículo 18 de la Constitución Española.
En todo caso, estar prevenidos de esta amenaza es bastante sencillo, y son los consejos de siempre: no instalar aplicaciones que no sean de confianza, usar la verificación de aplicaciones de Google, y evitar instalar aplicaciones que no vengan de canales reputados como Google Play o Amazon AppStore. Eso, y tener siempre controlado nuestro Android, para evitar que otro pueda venir y hacerlo por nosotros.
No sólo la aplicación de la que hablamos hoy utiliza este método, muchas más también lo utilizan con tal de obtener información, y conviene conocer cómo funcionan para evitarlas. Eso, y evitarnos pasar una temporada en la sombra por incumplir con la ley.
Desde aquí queremos darle las gracias a Ismael Reyes (desarrollador de RedInput) por ayudarnos a analizar el comportamiento de la aplicación. También queremos agradecer a Sergio Gómez Salvador (abogado en Gómez Salvador & Paños Olaiz Abogados) y a Victor Salgado Seguín (socio-director de Pintos & Salgado Abogados) su asesoramiento en la parte legal de este artículo. Su asesoramiento tiene fines meramente informativos: acude a un abogado en caso de que necesites consejo profesional.
Y donde esta el apartado de como defenderse en un caso así?
«En todo caso, estar prevenidos de esta amenaza es bastante sencillo, y son los consejos de siempre: no instalar aplicaciones que no sean de confianza, usar la verificación de aplicaciones de Google, y evitar instalar aplicaciones que no vengan de canales reputados como Google Play o Amazon AppStore. Eso, y tener siempre controlado nuestro Android, para evitar que otro pueda venir y hacerlo por nosotros.»
En resumen, esas serían las claves para evitar amenazas así. Cosas como un bloqueo de pantalla podrán ayudar en ese apartado de evitar que otro lo haga por nosotros.
Bueno, me declaro culpable, solo lei los primeros párrafos jajaja
cof cof desde el boot… se puede un par de cosas… recuerdas el rooteo? haz de cuenta que introducir otro código extra sería algo que ignoran….
No se pero este articulo en parte de alertarnos para cuidar más nuestra privacidad también haría que algunos corrieran a buscar este sitio web, en fin.
Por ese motivo todas las referencias al servicio están censuradas. Nuestro objetivo con este artículo es informar, no dar publicidad al citado servicio.
No creo que alguien sea tan tonto para probar esto ya que puede acabar en la cárcel. Aunque también es cierto que viendo las imágenes es facil descubrir de que programa se trata (yo ya lo se jiji). Pero creo que queda claro que la intención del artículo es informar de lo que son capaces de hacer estaas apps, para que notros nos preocupemos de tener más controlado nuestro móvil y evitar que alguien nos haga algo así.
El el Gran Hermano de los smartphones.
Este articulo me produjo enorme interes en saber cual era la aplicacion, bueno nada del otro mundo encontrarla pero ni loco pienso usar algo asi, no me gustaria que alguien hiciera eso conmigo, tampoco debo hacerlo a nadie.
PD: -Esta apliacacion le gusta a Alvaro uribe Velez-
si se llegara a restaurar el telefono de fabrica segiria siendo espiado o no? me surgio esa duda
No, se borraría absolutamente todo, incluido el malware ;)
Te equivocas, hay maneras de mantener las aplicaciones aunque se restaure de fábrica, se puede desde hace años.
se tendría que flashear la imagen de fabrica
Excelente articulo, os felicito, creo que es bueno estar enterados para cuidar mejor nuestro smartphone, La aplicación, web no es difícil de encontrar jajaja pero bueno creo que seria muy tonto probarlo, no queremos ir a la cárcel solo por saber si funciona ;)
No acabo de entender muy bien lo que decís de iOS. En iOS no es tan sencillo como Android instalar una aplicación que no sea del Market. En iOS para instalarlo primero habría que hacer Jailbreak del dispositivo.
Es de agradecer saber lo que hay y lo que se puede hacer pero sin embargo si pienso como otros que lo han dicho ya, que en cierto modo podría dar ideas a alguien. Aunque claro no es vuestra responsabilidad lo que se le pasa a la gente por la cabeza.
Un saludo
Evidentemente, por eso no da ningún tipo de detalles sobre iOS, es muy sensacionalista decir que en iOS es peor este tipo de troyanos ya que tomo el control de TODO el sistema, sin mas
Bueno, tambien necesita tener root en Android, que si bien es mas facil que Jailbreak, no es como si puedas cojer un mobil de alguien sin root y ponerle eso en 2 minutos.
Framaroot.
Root? JAJAJAJAJA en 2 minutos me sobra tiempo, dame tu mvl y si tiene un procesador qualcom te lo hago en 10 segundos sin necesidad de un PC
Si bien es iOS y no esta actualizado a la ultima version y llevas un portatil encima y te sabes mi pass de icloud para desactivarlo para poder hacer jailbreak
Me siento seguuuuuuuro…
Bueno, rooteado ya lo esta desde el primer dia. Y no conocia el framaroot, que si lo hace posible. Pero en dos minutos no se yo si tienes tiempo de borrar despues el SuperSU (que canta cojones el icono). Asi que te doy 5 :P Pero en todo caso, en el mío en particular ya te digo que no lo haces ni en 15. Soy un poco exagerado con la seguridad ;)
Hombre es tonteria hablar de esto porque todo el mundo tiene codigo para desbloquear el teclado
Mira, ya encontré una ventaja para Mediatek sobre Qualcomm. Creo que es la primera que encuentro
hola como se llama la aplicación o cual es el sitio para descargarla….
tengo dos teléfonos y quiero probarla…. claro los dos celulares son míos y no soy estúpido para espiar a alguien e ir a pagar cana una buena temporada ajajaajaja
y como puedo protegerme de ser espiado……. pero no me salgan con lo de siempre de que no instales aplicaciones fuera de las tiendas oficiales como la play store o amazon app store
porque mi teléfono es chino y no tiene la play store….
uso aptoide, blackmart, mobo market
si me pueden dar unos consejos de como evitar ser espiado pues gracias de antemano….
Da igual, continuas siendo un estupido… que buscas espiando tu movil? Enfin
This is the real life madafacka.
Pfff eso desde hace muchisimo se puede con metasploit y sin pagar nada :v
Qué sabio eres, estás por encima del que ha redactado el artículo y todos los que aquí hemos comentado. Toma tu pin, y ahora ya te puedes ir a casa a dormir y soñar que eres superior a todos.
¿Y ahora tu ya te sientes el defensor? Ahora mismo mando a que te hagan una medalla ;)
Para eso y sin lios esta Cerberus por solo un par de euros
Puedes ver donde esta ,grabar en tiempo rwal nada de servidores. Hacer capturas y mas cosas
interesante y bien redactado articulo gracias,
mi pregunta, ademas de la prevencion, como podemos hacer un analisis para saber si ya tenemos algo asi en nuestros moviles, eso es lo que me preocupa, yo se que apps instalo pero alguien puede cogerme el telefono e instalarla y no darme cuenta, hay algun analizador o algo asi, gracias
Excelente artículo y está bien especificada la mayoría de las funciones
Lo que mas me preocupa cuando leí el artículo es que ésta aplicación dice que es para espiar, pero cuantas app pueden estar por la web que digan que tienen otra función y que te estén espiando sin que uno se de cuenta
Pensé lo mismo :O
Buen análisis, parece ser que Android no es todavía seguro del todo, Google debería extremar la instalación de apks inseguras y regular y revisar las apps de la Play Store
Yo tuve el disgusto de instalarla en el cel de mi novia, en ese tiempo había el primer mes gratis así que tuve acceso a mensajes. Aun no se podía espiar whats app no otros servicios de mensajería.
Y pues confirmé lo que me temía, qué me ponía unos mas grandes que de un cebú. Ella se enteró, se armó un gran lío.
Pero a lo que iba es que realmente funciona, fue el espía perfecto hace un año y arruinó/solucionó mi vida y no me quedaron ganas de volverla a usar.
Por cierto, su nombre tiene que ver con «topo».
Y este tipo de aplicaciones tienen la opcion de desinstalarlas mediante la pag web? o solo teniendo acceso fisico al terminal? .__.