Hace un par de días llegó un comentario al post que tengo sobre "Cómo Espiar WhatsApp" en la que se hablaba de un servicio para robar la base de datos de WhatsApp mediante un falso juego para Android.
La idea es tan sencilla como convencer a un amigo, compañero, pareja,
hijo, enemigo, etcétera para que se instale ese juego para que le robe
la base de datos de WhatsApp y luego poder consultar los mensajes a través de una página web que te cobrará por ello.
El juego no es más que un sencillo - y feo - en JavaScript que lleva incrustado un código Java que accede a la base de datos y las fotografías de las víctimas del engaño. Es decir, la definición clásica de un Caballo de Troya,
dejas pasar un juego aparentemente inofensivo y este te roba los datos.
Este esquema está descrito de igual forma para terminales iPhone en el libro de Hacking iOS, siguiendo un esquema similar al que utilizaron tanto Charlie Miller con InstaStock como el malware Find & Call para conseguir saltar todos los controles de seguridad de App Store.
Figura 1: Juego troyanizado para robar la base de datos de WhatsApp |
La gran diferencia entre Google Play y App Store es que, mientras que en App Store los controles - aún lejos de ser perfectos - complican mucho la vida a los desarrolladores de app maliciosas, en Google Play esto parece un cachondeo. En el caso de WhatsApp ya vimos como casi todos los días aparecen nuevas apps maliciosas pretendiendo ser la popular app de mensajería en Google Play, y una app
como ésta, orientada a robar los datos de los usuarios ni tan siquiera
se oculta, tal y como se puede ver en las condiciones del servicio.
Supongo que asumiendo que "la policía es tonta", el
servicio pone, como el que no quiere la cosa, que puede hacer una copia
de seguridad de tus archivos, que luego dejará consultar vía una página
web para que cualquiera pueda acceder a los mensajes robados sólo con
poner el número de teléfono y pagar.
Figura 2: Condiciones de servicio donde se "informa" de la copia de archivos |
Aprovechando que tenemos un equipo de investigación de Eleven Paths en Málaga,
le pedí a mis compañeros de Eleven Paths que le echaran un vistazo a lo
que me estaban enviando con el comentario. Con un poco de revisión por Internet
se puede ver que este mismo mensaje o uno similar al que había sido
dejado en mi blog había sido publicado en varios fotos utilizando
nombres distintos, todos creados en fechas similares y más que
probablemente desde las mismas direcciones IP.
Por supuesto, echando una ojeada a la app, se puede ver como el código no deja lugar a dudas de lo que va a hacer. Se puede ver fácilmente tras decompilar el Java que en esta sección se accede tanto a la base de datos, como a los ficheros enviados y recibidos.
Figura 3: Código del troyano que roba la base de datos de WhatsApps |
Me preguntaba Jordi Évole en la entrevista si esto es legal, y lo cierto es que los que han creado esta app
se deben sentir bastante impunes, ya que está creada desde una empresa
sita en España que se publicita junto al servicio. Hablan de "copia de seguridad", pero directamente asocian esta app a un servicio para buscar los mensajes de WhatsApp robados y hacen campañas de spam con explicaciones claras de cómo funciona servicio.
No sé si la "policía es tonta" y se creerá que esto realmente es para jugar "y hacer una copia de seguridad de ficheros", pero lo que sí que creo es que Google Play debería hacer muchas más comprobaciones de seguridad, ya que con dar el permiso de acceso al almacenamiento cualquier app maliciosa puede llevarse la intimidad de tu WhatsApp.
Fuente
No hay comentarios:
Publicar un comentario