¿Por qué tener ojo con las apps sin control de seguridad? Todos nosotros hemos tenido un momento en nuestra vida en el cual hemos buscado una aplicación que instalarnos y nos hemos dado cuenta qué no era gratis. Tras esto, hemos buscado por páginas intentando encontrar la aplicación de forma gratuita y nos hemos sentido realmente bien, pero ¿éramos conscientes de lo que nos estábamos jugando al descargarnos esa aplicación?

El día de hoy os traigo una PoC (prueba de concepto) muy sencilla para que seáis conscientes del peligro que trae el instalar aplicaciones no verificadas, o de páginas sin un control de seguridad. En el caso de Google Play encontramos Google Play Protect que nos advierte de si una aplicación es reconocida como dañina.

¡Vamos al lio!

Preparación del escenario (lado del atacante)

Lo primero que he hecho ha sido crear una Apk maliciosa, para ello he hecho uso de metasploit (usando un reverse TCP) y de ngrok (para crear un canal de comunicación entre la víctima y el atacante sin que la ip del atacante se vea comprometida). Una vez configurado lanzamos el exploit y lo dejamos en modo escucha.

Tras esto lo único que el atacante debe esperar es a que una víctima se instale la aplicación en su Android.

Preparación del escenario (lado de la víctima)

La victima lo único que debe hacer es instalarse la aplicación. A continuación, voy a mostrar el proceso de instalación de la aplicación para para que observéis cuales son algunos de los mecanismos de advertencia que tiene nuestro móvil. Nos avisa de que estamos haciendo algo de riesgo.

1. Cuando instalamos una aplicación desconocida, al tener activado Google Play Protect nos salta el primer aviso. Debemos valorar que estamos instalando.

Si aun así, queremos instalar la aplicación tenemos que autorizar las descargas desde nuestro panel de configuración.

2. Cuando lo activamos y comenzamos a instalar la aplicación nos puede volver a saltar una advertencia. Instalamos de todas formas y seguimos adelante.

3. Una vez que la instalamos nos pedirá que demos permisos. Esta parte es muy importante ya que nos puede ayudar a conocer un poco más la aplicación. Además si vemos los permisos que nos pide podemos ver de cierto modo a que partes de nuestro teléfono va a tener acceso la aplicación, recordemos esa maravillosa aplicación de una linterna que nos pide permiso para acceder a nuestro registro de las llamadas. ¿Si ya tenemos una linterna en el móvil, para que nos instalamos una?

Dejo el enlace de una noticia sobre esto: Cuidado con las APPs que descargamos

¿Qué ocurre después de instalar la aplicación?

Seguimos con la PoC. Despues de instalar y usar nuestra nueva aplicación ¿qué es lo que ocurre? Para nosostros nada fuera de lo normal, pero desde el lado del atacante podemos hacer maravillas como por ejemplo grabar audio y exportarlo en archivos .wav; podemos dumpear (hacer un volcado) el registro de llamadas o el de los sms; podemos sacar la geolocalización del dispositivo; navegar por los directorios y obtener los archivos de nuestro teléfono…

Bueno, y todo esto sin que la víctima note lo más mínimo.

Estos son algunos archivos que se pueden obtener callog_dump (registro de llamadas) con numeros de teléfono, nombre de la persona, fecha y hora, duración de la llamada, si fue llamada entrante o saliente…

Sms_dump (registro de los sms):

El archivo con extensión .wav es una grabación de audio que realizamos de la duración que queramos en el momento que queramos, así, sin más.

Podemos utilizar el comando geolocate para ver la localización exacta del dispositivo:

Y muchas más cosas que podemos realizar con los distintos comandos, solo tenemos que tener paciencia y leer, no hay más.

RECOMENDACIONES ANTES DE DESCARGAR CUALQUIER APLICACIÓN:

• Prestar atención a los permisos.
• Lee siempre antes de aceptar.
• Evalúa la empresa desarrolladora (aunque puede pasar con las más conocidas, véase por ejemplo el caso de razer synape).
• Mantén tu dispositivo siempre actualizado y con los mecanismos de seguridad necesarios.

Con esto termino esta pequeña prueba, espero que tengáis cuidado la próxima vez que os instaléis cualquier aplicación y penséis antes de aceptar nada. Como siempre digo, ¡Pensad fuera de la caja!

Jose Manuel Nieto Campos

Criminólogo.