Stalkerware para Android: una amenaza cada vez más peligrosa que incluso expone a quienes espian

El equipo de investigación de ESET revela que muchas aplicaciones de stalkerware para Android están plagadas de vulnerabilidades que ponen aún más a las víctimas en peligro y exponen la privacidad y seguridad de los propios espías.

Stalkerware para dispositivos móviles, también conocido en inglés como spouseware, es un software para monitorear que un acosador instala silenciosamente en el dispositivo de la víctima sin el conocimiento de la víctima. Por lo general, el acosador necesita tener acceso físico al dispositivo de la víctima para instalar el stalkerware. Por ello, los agresores suelen ser personas del entorno familiar, social o laboral de sus víctimas.

Según nuestra telemetría, las aplicaciones de stalkerware se han vuelto cada vez más populares en los últimos años. En 2019, vimos que las detecciones de stalkerware de Android aumentaron casi cinco veces en comparación con 2018, y ese crecimiento en 2020 fue del 48% en comparación con 2019. Stalkerware puede monitorear la ubicación GPS del dispositivo de una víctima, conversaciones, imágenes, historial del navegador y más. También almacena y transmite todos esos datos, por lo que decidimos analizar forenses cómo estas aplicaciones se ocupan de la protección de datos.

Figura 1. Según nuestra telemetría de detección, el uso de stalkerware en Android está aumentando

Para evitar ser marcados como stalkerware y permanecer fuera del radar, los proveedores de estas aplicaciones suelen promocionarlas, en muchos casos, como protección para niños, empleados o mujeres, sin embargo, la palabra “espía” se suele utilizar en sus sitios web. Encontrar este tipo de herramientas en Internet no es nada difícil, por lo que no tiene que navegar por sitios clandestinos para encontrar opciones de stalkerware. La captura de pantalla a continuación muestra un ejemplo desagradable de cómo estas aplicaciones de monitoreo de mujeres presentan una queja en nombre de su seguridad.

Transmisión insegura de la PII del usuario (CWE-200) Almacenamiento de información confidencial en medios externos (CWE-922) Exposición de información confidencial del usuario a un usuario no autorizado (CWE-200) Fuga del servidor de información del cliente stalkerware (CWE-200) Transmisión de datos no autorizada desde dispositivo al servidor Asignación de permisos incorrecta para dispositivos con privilegios de superusuario (CWE-732) Verificación insuficiente de los datos cargados desde el cliente (CWE-345) Autorización inapropiada de comandos SMS (CWE-285) Ignorar el pago para acceder a la consola de administración (CWE-284 ) Inyección de comandos (CWE-926) Aplicación de contraseña de registro débil (CWE-521) Falta de cifrado de contraseña adecuado (CWE-326) Datos de la víctima guardados en el servidor después de la eliminación de la cuenta Fuga de información confidencial durante la comunicación de IPC (CWE-927) Acceso parcial a la consola de administración (CWE-285) Transmisión remota en vivo de video y audio desde el dispositivo de video  (CWE-284) Se ejecuta como código fuente de la aplicación del sistema y se filtran credenciales de superadministrador (CWE-200)

Figura 2. Alegación de que una aplicación de stalkerware para monitorear a las mujeres afirma que se supone que es por su seguridad

Más de 150 problemas de seguridad en 58 aplicaciones de stalkerware para Android

Como mínimo, las aplicaciones de stalkerware promueven un comportamiento éticamente cuestionable, lo que lleva a la mayoría de las soluciones de seguridad móvil a marcar estas aplicaciones como indeseables o dañinas. Sin embargo, como estas aplicaciones acceden, recopilan, almacenan y transmiten más información que cualquier otra aplicación instalada por sus víctimas, nos interesaba saber cómo estas aplicaciones protegían una cantidad tan grande de datos y eran tan sensibles.

Por lo tanto, analizamos manualmente 86 aplicaciones de stalkerware para la plataforma Android, proporcionadas por 86 proveedores diferentes. En este análisis, definimos un acosador como una persona que instala y monitorea o controla de forma remota una aplicación de stalkerware. Una víctima es una persona atacada por un acosador que la espía a través de un software de monitoreo. Finalmente, un atacante es un tercero que el acosador y la víctima a menudo desconocen. En este sentido, un atacante puede tomar acciones como aprovechar problemas de seguridad o fallas de privacidad en la aplicación stalkerware o servicios de monitoreo asociados.

Este análisis nos permitió identificar muchos problemas serios de seguridad y privacidad que podrían resultar en que un atacante tomara el control del dispositivo de la víctima y la cuenta de la herramienta stalkerware, interceptara los datos de la víctima, incriminara a la víctima al llevar evidencia falsa o poder ejecutar código de forma remota en el teléfono de la víctima. En 58 de estas aplicaciones de Android, descubrimos un total de 158 problemas de seguridad y privacidad que pueden tener un impacto grave en la víctima; Y, de hecho, incluso el acosador o el proveedor de la aplicación pueden estar en riesgo.

Siguiendo nuestra política de divulgación coordinada de 90 días, informamos repetidamente estos problemas a los proveedores afectados. Desafortunadamente, hasta la fecha, solo seis proveedores han solucionado los problemas que informamos sobre sus aplicaciones. Cuarenta y cuatro proveedores no han respondido y siete han prometido solucionar sus problemas en una próxima actualización, pero aún no han publicado actualizaciones corregidas al momento de escribir este artículo. Un proveedor decidió no corregir los problemas informados.

Problemas de seguridad y privacidad descubiertos

Los 158 problemas de seguridad y privacidad descubiertos en las 58 aplicaciones de stalkerware analizadas se ordenaron de acuerdo con la prevalencia de ocurrencias encontradas en el stalkerware analizado.

Figura 3. Análisis de los problemas de seguridad y privacidad descubiertos en esta investigación

Conclusión

La investigación debe servir como una advertencia a los futuros clientes potenciales de estas aplicaciones de stalkerware para que reconsideren el uso de este tipo de software para espiar a sus cónyuges y seres queridos, ya que no solo es poco ético hacerlo, sino que también puede conducir a la exposición de las personas y la información de sus cónyuges y ponerlos en riesgo de posibles ataques cibernéticos y fraude. Dado que a menudo puede haber una relación estrecha entre el acosador y la víctima, la información privada del acosador también puede quedar expuesta. Durante nuestra investigación, identificamos que algunos de estos stalkerware guardan los datos de los acosadores que usan la aplicación y los datos que obtuvieron de sus víctimas en un servidor, incluso después de que los acosadores solicitaron la eliminación de los datos.

Esto es solo una pequeña muestra de lo que descubrimos durante nuestra investigación, por lo que lo invitamos a leer el documento técnico completo.

Deja un comentario