La privacidad, como ya os hemos comentado en multitud de ocasiones, se encuentra a la orden del día. Nuestros dispositivos móviles se han convertido en una puerta de entrada más a nuestra vida privada, una vida que se mezcla cada vez más con nuestra vida real. Y no nos hace mucha gracia que se vea expuesta a ojos ajenos, algo perfectamente comprensible.

Sin embargo, ha llegado a nuestra redacción una aplicación que promete acceder por completo a todos los datos que tenga un dispositivo: un espía que captura toda tu información, y que se queda ahí esperando a que vayas revelando todos tus detalles. En El Androide Libre nos hemos atrevido a probarla, y os comentamos todo lo que tenéis que saber sobre estas aplicaciones que nos prometen ser verdaderos espías.

Qué nos promete la aplicación

El ejemplo que os traemos hoy, y del que no vamos a dar un nombre en concreto por motivos obvios, es una aplicación que se vende como el espía perfecto: capaz de capturar tus conversaciones de varias aplicaciones de mensajería, de grabar tus llamadas e incluso el ambiente en el que estás, conseguir tu localización, hacerse con tu lista de contactos…

-La pantalla principal del sitio web. Da acceso a toda la información recopilada, además de acceso a los parámetros que queramos guardar-

Y es el espía perfecto, para qué vamos a engañarnos. Es tan sencillo como descargar la aplicación desde su web (no esta en Google Play, primera cosa sospechosa), instalar aceptando una burrada de permisos (las alarmas están sonando…), introducir nuestros datos del servicio, y ocultar la aplicación del App Drawer para que no sea tan fácil de detectar por el usuario. Lo único que necesita el atacante son cinco minutos con acceso físico libre al dispositivo.

-Aplicaciones alcanzadas por la app espía-

Todos los datos que recopila van a parar a un servidor remoto en Tailandia, datos a los que podemos acceder con nuestra cuenta de usuario en su página web. Todo es accesible a través de una interfaz web, y los datos se pueden exportar a nuestro ordenador para su futuro análisis. Los datos no duran mucho tiempo en el servidor, alegando motivos de política empresarial.

El truco en este caso está en que, para acceder a muchos de los datos que la aplicación asegura conseguir sin problemas, tenemos que suscribirnos pagando dinero real: los precios varían según la licencia y el tiempo activo que queramos estar en la plataforma. Una de las muchas señales que parecen denotar que hay gato encerrado, aparte del cutre diseño que gasta la página.

-Precios (en oferta) del servicio-

Nos hemos puesto en contacto con el desarrollador para que nos diera acceso a la versión completa del servicio, con la intención de probar todas las funcionalidades que dice tener. No hemos recibido ninguna respuesta hasta ahora, por lo que hemos pasado a deducir sus funciones a partir del código que podemos analizar.

Qué es la aplicación en realidad

La primera sorpresa llega al analizar el .apk en conjunto: se trata de Android.Spyoo, un troyano para Android reconocido en las bases de datos de Symantec. Lo mejor de todo es que este troyano tiene la función de guardar y enviar datos concretos a un servidor remoto. ¿Qué curioso y conveniente, verdad?

-Clases de envío de datos al servidor-

No nos hemos quedado en la superficie, y también hemos analizado el código de la aplicación, para descubrir si hay más trucos, y si hace todo eso en realidad. Las primeras pruebas dan a entender que tiene la capacidad para recopilar todos esos datos que afirma capturar, pero el análisis del código es mucho más sorprendente de lo que nos esperábamos.

La aplicación se aprovecha del acceso root para cambiar los permisos de las carpetas que utilizan las aplicaciones de mensajería, haciendo que pasen a estar bajo el control de la aplicación. Para los entendidos en Linux, es como si hiciéramos un chmod 777 a todas esas carpetas, pero con código en vez de comandos. De esta forma sólo necesita preguntar una vez por los permisos root, y pasa desapercibido para el usuario el resto del tiempo.

-Clases «capturadoras» de notificaciones-

Todas las aplicaciones de mensajería comunes que utilices estarían comprometidas, en resumen: WhatsApp, Viber, Facebook, Skype, Yahoo! Messenger, Hangouts, BlackBerry Messenger, Line, KIK… y nos dejaremos algunas por el camino, aunque la peor parte se la llevan los usuarios de iOS, dado que es capaz de capturar hasta las pulsaciones del teclado.

Siguiendo con el tema de las aplicaciones de mensajería que son vulnerables, no sólo se limita a jugar con las carpetas, porque también se queda pendiente de las notificaciones para detectar las notificaciones que son mensajes. Es decir: las intercepta, almacena su información, y las deja continuar como si no hubiera pasado nada.

-Capturas de la aplicación Android funcionando (izquierda y centro) junto al verdadero System Service (derecha)-

Por otra parte, no sólo se queda con las aplicaciones de mensajería, porque la lista de datos que puede capturar es inmensa: registros de aplicaciones, llamadas, contactos, localización GPS, mensajes, fotos tomadas con la cámara, URLs visitadas… y lo más inquietante de todo, es capaz de grabar llamadas y activar el micrófono en cualquier momento para grabar lo que sea que se escuche en el ambiente.

Por si todo esto no fuera suficiente, se oculta en el sistema bajo nombres conocidos, con el objetivo de aparentar tranquilidad si buscamos los nombres. Por ejemplo, utiliza el nombre de FFmpeg para crear la carpeta donde guarda temporalmente los datos, y el proceso se llama «system_server» (como podéis ver en las capturas de Android) con el objetivo de parecer ser del sistema. Eso, y enmascarar las direcciones donde envía los datos con nombres conocidos como «iCloudApp».

-Clase sospechosamente vacía del «core»-

Y quizás lo más preocupante de todo es que, en nuestra búsqueda por más detalles, nos hemos topado con varios archivos de código en blanco, en una carpeta llamada «core». Parece que nos hemos encontrado con el núcleo de las funciones de la aplicación, pero por desgracia su código está oculto para hacer imposible su análisis.

Como veis, es capaz de sacar muchísimos datos de nuestro dispositivo, incluso del micrófono y de las cámaras. Por suerte, la vigilancia no llega al nivel de iOS (acceso completo al sistema y a las pulsaciones que hace el usuario, todo un riesgo para la seguridad) gracias a que Android ejecuta cada aplicación en un sandbox, y esta aplicación no tiene forma de salir de su caja de arena.

 

-Código que cambia permisos de las carpetas de Whatsapp-

Sin embargo, tener la aplicación funcionando en nuestro Android es un riesgo notable a nuestra privacidad y seguridad, como comprenderéis. Lo malo de esto es que no hay sólo una aplicación que se dedique a esto, porque podemos encontrar más de una exactamente igual si usamos el mismo nombre en una búsqueda.

-Panel de información del dispositivo en la web-

Y lo peor de todo es que es delito si lo utilizas en un dispositivo que no es tuyo, o si lo utiliza alguien que no sabe que está siendo espiado, algo que os comentamos ahora mismo.

Piensalo dos veces antes de hacerlo

Parejas celosas, jefes abusivos, padres controladores, amigos capullos… antes de que corráis a buscar la aplicación, os recomiendo que leáis este párrafo, porque os interesa mucho si vivís en España. En el sentido de que puedes ir a la cárcel si lo intentas, así que sigue leyendo.

El uso de este tipo de aplicaciones puede ser legítimo en casos específicos, pero la aplicación se anuncia como un espía que instalar en un dispositivo ajeno. Instalar una aplicación así en el teléfono de otra persona para acceder a sus comunicaciones es delito, en resumen. El caso sería dudoso en el caso de que se haga con el dispositivo móvil de un trabajador, sólo si se comunica con antelación al trabajador que su móvil está haciendo todo eso.

Eso que os acabo de comentar está considerado como un delito de revelación de secretos según el Artículo 197.1 del Código Penal, con penas de entre 1 y 4 años de prisión, y multas de 12 a 24 meses de duración. Además, vulnera la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (con posibles sanciones administrativas), y supondría una violación flagrante del derecho fundamental a la intimidad y el secreto de las comunicaciones, artículo 18 de la Constitución Española.

En todo caso, estar prevenidos de esta amenaza es bastante sencillo, y son los consejos de siempre: no instalar aplicaciones que no sean de confianza, usar la verificación de aplicaciones de Google, y evitar instalar aplicaciones que no vengan de canales reputados como Google Play o Amazon AppStore. Eso, y tener siempre controlado nuestro Android, para evitar que otro pueda venir y hacerlo por nosotros.

No sólo la aplicación de la que hablamos hoy utiliza este método, muchas más también lo utilizan con tal de obtener información, y conviene conocer cómo funcionan para evitarlas. Eso, y evitarnos pasar una temporada en la sombra por incumplir con la ley.

Desde aquí queremos darle las gracias a Ismael Reyes (desarrollador de RedInput) por ayudarnos a analizar el comportamiento de la aplicación. También queremos agradecer a Sergio Gómez Salvador (abogado en Gómez Salvador & Paños Olaiz Abogados) y a Victor Salgado Seguín (socio-director de Pintos & Salgado Abogados) su asesoramiento en la parte legal de este artículo. Su asesoramiento tiene fines meramente informativos: acude a un abogado en caso de que necesites consejo profesional.