Desvelando Celular 007: Un Análisis Detallado del Stalkerware Brasileño y Estrategias para la Protección Colectiva

Fecha: 05 de Diciembre de 2024

Autores: Marla y TJ

 

Este informe fue publicado en Portugués, Español y Inglés.

 

Si sospecha que su dispositivo puede haber sido comprometido por cualquier stalkerware incluso Celular 007, o infectada por cualquier software espía, recomendamos no intentar desinstalar la aplicación ni cambiar las configuraciones de su teléfono sin asistencia profesional. Tales acciones pueden ser ineficientes, y tener el efecto de alertar a la persona responsable de instalar el software espía. Esto puede ponerle más en riesgo.

Recomendamos que busque asistencia profesional de organizaciones especializadas en seguridad digital que apoyan a víctimas de vigilancia y abuso, tales como InterSecLab, o otras líneas de ayuda confiables. Estas entidades están capacitadas para ofrecer orientación segura y adecuada a su situación específica.

 

Introducción

La proliferación de las tecnologías de vigilancia en los últimos años ha transformado silenciosamente el panorama de la privacidad y la seguridad personal. Herramientas que antes estaban reservadas para las fuerzas del orden y organismos de inteligencia ahora están disponibles al público en general, a menudo comercializadas bajo la apariencia de seguridad infantil (control parental) o monitoreo de personas trabajadoras. Celular 007, también conocido como FoxSpy, es una de estas herramientas provenientes de Brasil, promocionadas abiertamente a individuos que buscan monitorear a otras personas sin su consentimiento.

El stalkerware como Celular 007 representa una amenaza significativa al permitir la vigilancia invasiva de parejas íntimas, personas trabajadoras e incluso desconocidas. Su fácil acceso y costo relativamente bajo han llevado a un uso generalizado, normalizando una cultura de intrusión y control. La falta de regulaciones estrictas permite que estas herramientas prosperen, lo que genera preocupaciones sobre su posible mal uso, no solo por parte de individuos sino también por parte de instituciones estatales y empresas.

Investigaciones recientes, como el caso de WebDetetive, han destacado cómo se utilizaron dominios de correo electrónico del gobierno brasileño para registrar cuentas en la plataforma de stalkerware. Esto subraya la alarmante posibilidad de que actores estatales se aprovechen de estas herramientas no reguladas para realizar vigilancia no autorizada.

Este informe analiza en profundidad Celular 007, descubriendo sus capacidades invasivas y las implicaciones más amplias de su uso. Al examinar cómo opera el stalkerware, buscamos iluminar la necesidad urgente de estrategias colectivas para proteger a individuos y comunidades de estas amenazas. Nuestros hallazgos también resaltan la importancia de la acción regulatoria para prevenir la normalización de tecnologías de vigilancia que socavan la privacidad y empoderan prácticas abusivas.

 

Antecedentes y Contexto

Como parte del Círculo de Aprendizaje Feminista organizado por la Asociación para el Progreso de las Comunicaciones (APC), se llevó a cabo un taller titulado Stalkerware y Vigilancia Digital Dirigida: ¿Qué es y Estrategias para la Protección Colectiva? Facilitado por la investigadora Marla de InterSecLab, la sesión reunió a alrededor de 30 activistas para explorar la complejidad del stalkerware, compartir experiencias y desarrollar estrategias de defensa colectiva.

Marla destacó que la vigilancia digital a menudo está entrelazada con otras formas de violencia, lo que requiere una evaluación de riesgos holística. Resaltó la importancia de la defensa colectiva y los desafíos en la detección de stalkerware sofisticado, que a menudo elude las medidas de seguridad tradicionales.

Este análisis se basa en las percepciones del taller y en un examen detallado de Celular 007, con el objetivo de capacitar a usuarios y comunidades con conocimientos y herramientas prácticas para protegerse.

 

Resumen Ejecutivo

Celular 007 es una aplicación de stalkerware sofisticada para Android que permite a los perpetradores supervisar y controlar casi todos los aspectos de un dispositivo infectado. A través de permisos amplios y operaciones encubiertas, puede grabar llamadas, rastrear ubicaciones, capturar fotos y videos, leer mensajes de diversas aplicaciones y mucho más, todo sin que la víctima lo perciba.

Los hallazgos clave de nuestro análisis incluyen:

  • Capacidades Avanzadas de Vigilancia:
    • Utiliza tecnologías como WebRTC para transmisión de audio y video en tiempo real.
    • Abusa de los Servicios de Accesibilidad para interceptar las interacciones del usuario.
  • Exfiltración de Datos Exhaustiva:
    • Recopila y transmite una amplia gama de datos personales, incluidos mensajes, registros de llamadas e información de ubicación.
  • Mecanismos de Persistencia:
    • Emplea técnicas para mantenerse activo en el dispositivo, como inicio automático al arranque y abuso de privilegios de administrador del dispositivo.
  • Abuso de Servicios Legítimos:
    • Utiliza Firebase Cloud Messaging para establecer canales de comando y control, disfrazando sus comunicaciones como tráfico legítimo.
  • Indicadores de Compromiso (IoCs):
    • Identificamos URLs específicas, direcciones IP, hashes de archivos y otros artefactos asociados con Celular 007.
  • Necesidad de Protección Colectiva:
    • Resalta la importancia de formar estrategias de defensa colectiva y conciencia comunitaria para combatir estas herramientas invasivas.

 

Análisis Técnico del APK de Celular 007

Metadata del Archivo APK

  • Nombre de Archivo: soundy.apk
  • MD5 Hash: 906d64601e33529d47ef3ec17bbc6839
  • SHA-256 Hash: 5ee8934d85e2bc263bbe91bae8c202f6ff634c69f77e001eb98b3f7be05d8336

 

Herramientas de Análisis y Proceso

Utilizamos jadx-gui, una herramienta gráfica para descompilar y analizar aplicaciones Android, para examinar el APK. Esto nos permitió inspeccionar el código fuente, los recursos y el archivo de manifiesto de la aplicación en detalle.

 

Proceso de Análisis del APK

Paso 1: Decompilación del APK con jadx-gui

  • Procedimiento:
    • Cargamos soundy.apk en jadx-gui.
    • Descompilamos el APK para acceder al código fuente Java y los archivos de recursos.
    • Exploramos la estructura de paquetes, código y recursos de la aplicación.

 

 

Figura 1: Estructura interna de la aplicación Celular 007 visualizada en jadx-gui.

La imagen muestra la organización de los paquetes, el código fuente y los recursos de la aplicación, explorada durante el análisis técnico.

 

  • Observaciones:
    • El código muestra señales de ofuscación.
    • Identificamos clases y métodos asociados con funcionalidades de vigilancia.
    • Observamos URLs codificadas, cadenas cifradas y credenciales para servicios externos.

 

Paso 2: Resumen de la Estructura de la Aplicación

  • Archivos y Directorios Clave:
    • AndroidManifest.xml: Define los permisos de la app, componentes y filtros de intención.
    • Código Fuente: Contiene actividades, servicios y receptores que implementan las funcionalidades de la app.
    • Recursos (carpeta res): Almacena elementos de la interfaz de usuario y archivos multimedia.
    • Bibliotecas: Incluye dependencias de Firebase, AWS, WebRTC y otros servicios.

 

Permisos y Capacidades

Figura 2: Permisos solicitados por Celular 007 en el archivo AndroidManifest.xml.

Captura de pantalla que muestra los permisos que solicita la aplicación, indicando el acceso a datos sensibles y funcionalidades del sistema.

 

Celular 007 solicita una amplia gama de permisos, otorgándole acceso a datos sensibles de la persona usuaria y funcionalidades del sistema. A continuación, se encuentran los permisos más críticos y sus implicaciones:

 

Permiso Descripción
ACCESS_FINE_LOCATION Concede el seguimiento de ubicación GPS precisa, permitiendo la supervisión continua de los movimientos de la persona usuaria.
RECORD_AUDIO Permite la grabación de audio ambiental y llamadas telefónicas sin el consentimiento de la persona usuaria.
CAMERA Habilita la captura de fotos y videos de forma encubierta.
READ_SMS, RECEIVE_SMS Otorga acceso a la lectura de mensajes SMS entrantes.
READ_CALL_LOG, PROCESS_OUTGOING_CALLS Accede al historial de llamadas y monitorea llamadas salientes.
READ_CONTACTS Recupera la lista de contactos de la persona usuaria.
BIND_ACCESSIBILITY_SERVICE Abusa de los Servicios de Accesibilidad para supervisar las interacciones de la persona usuaria y extraer datos de otras aplicaciones.
RECEIVE_BOOT_COMPLETED Permite que la aplicación se inicie automáticamente después del reinicio del dispositivo, garantizando la persistencia.
SYSTEM_ALERT_WINDOW Permite la creación de ventanas superpuestas, potencialmente ocultando actividades maliciosas.
DEVICE_ADMIN Otorga privilegios de administrador del dispositivo, dándole control total sobre el dispositivo.

 

Componentes Clave

Actividades

  • MainActivity (com.kfhdha.fkjfgjdi.MainActivity):
    • Disfrazada como “Internet” en el lanzador de aplicaciones.
    • Sirve como punto de entrada principal del malware.
    • Se comunica con el servidor de comando y control (C2) en http://pc.foxspy.com[.]br.
    • Extrae grabaciones de audio de los directorios de WhatsApp.
  • AtivarPermissao:
    • Guía al instalador a conceder permisos extensivos y privilegios de administrador del dispositivo.
  • CallActivity (org.appspot.apprtc.CallActivity):
    • Versión modificada del código de ejemplo AppRTC de Google para transmisión de audio y video en vivo vía WebRTC.
    • Transmite la ubicación GPS de forma continua a través de canales de datos de WebRTC.
  • PHOTO007:
    • Captura fotos y videos sin interacción de la persona usuaria, activado de forma remota.

Servicios

  • CallRecordingService:
    • Gestiona la grabación de llamadas y la sincronización con el servidor C2.
    • Almacena las grabaciones localmente antes de subirlas.
  • notificacao & notificacaobar:
    • Utilizan Servicios de Accesibilidad para interceptar y extraer mensajes de aplicaciones como WhatsApp, Facebook Messenger, Instagram y Telegram.
  • MFcmListenerService:
    • Recibe notificaciones push ocultas de Firebase para activar acciones de forma encubierta.
  • SegundoPlano:
    • Mantiene un servicio en segundo plano persistente con una notificación disfrazada titulada “Internet” y subtítulo “Conectando”.

Receptores

  • C2DMBroadcastReceiver:
    • Maneja comandos remotos a través de Firebase Cloud Messaging.
  • SmsReceiver:
    • Intercepta mensajes SMS entrantes y registra el contenido para su exfiltración.

Otros Componentes

  • S3enviar:
    • Maneja la subida de datos a un bucket de Amazon S3 llamado celular007.

 

 

Análisis de las Funcionalidades Maliciosas

Técnicas de Vigilancia Avanzadas

  • Transmisión de Audio y Video en Tiempo Real:
    • Utiliza versiones modificadas de ejemplos de AppRTC de Google para transmitir audio y video en vivo desde el micrófono y la cámara del dispositivo usando WebRTC.
    • Actividades involucradas: CallActivity, ConnectActivity.
  • Captura y Grabación de Pantalla:
    • Emplea la API de Proyección de Medios para capturar el contenido de la pantalla en tiempo real.
    • Actividades involucradas: ScreenCaptureImageActivity, ScreenCaptureImageActivity2.
  • Grabación de Llamadas:
    • Graba llamadas entrantes y salientes a través de CallRecordingService.
    • Almacena las grabaciones localmente antes de subirlas al servidor C2.

Recopilación de Datos Integral

  • Intercepción de Mensajes:
    • Abusa de los Servicios de Accesibilidad para extraer mensajes de aplicaciones como WhatsApp, Facebook Messenger, Instagram y Telegram.
    • Clases involucradas: eventowhatsapp, eventoface, eventoinstagram, eventotelegram.
  • Acceso a Datos Personales:
    • Lee contactos, registros de llamadas, mensajes SMS y otra información personal.
    • Monitorea y registra datos de ubicación GPS de forma continua.

Abuso de Servicios Legítimos para Actividades Maliciosas

  • Uso de Firebase Cloud Messaging (FCM):
    • Celular 007 utiliza FCM para establecer un canal de comando y control (C2) confiable, enmascarando sus comunicaciones maliciosas como tráfico legítimo.
    • Cada dispositivo infectado se registra en FCM con un token único, permitiendo al stalkerware enviar comandos remotos y recibir actualizaciones.
  • Implicaciones y Posibilidades de Mitigación:
    • Detección y Notificación por Parte de Google:
      • Dado que Google controla FCM, existe la posibilidad de identificar dispositivos infectados a través de los tokens registrados.
      • Google podría potencialmente notificar a los usuarios afectados sobre la presencia del stalkerware en sus dispositivos.
    • Interrupción de los Servicios del Stalkerware:
      • Revocar el acceso del stalkerware a los servicios de Firebase podría interrumpir significativamente su capacidad de operar, limitando la exfiltración de datos y el control remoto.
  • Desafíos en la Detección:
    • El tráfico a FCM generalmente se considera seguro y es utilizado por numerosas aplicaciones legítimas, lo que dificulta la identificación de actividades maliciosas sin un análisis profundo.
    • El cifrado de las comunicaciones entre el dispositivo infectado y FCM agrega una capa adicional de complejidad.

Mecanismos de Exfiltración de Datos

  • Comunicación con Comando y Control:
    • Se comunica con servidores C2 a través de URLs y direcciones IP codificadas.
    • Utiliza FCM para recibir comandos remotos de forma encubierta.
  • Uso de Servicios Legítimos:
    • Registra dispositivos con el proyecto de Firebase firebase-foxspy.
    • Utiliza servicios de AWS para almacenamiento y exfiltración de datos, enviando información recopilada a un bucket S3.

Persistencia y Técnicas de Evasión

  • Inicio Automático y Persistencia del Servicio:
    • Registra receptores (ServiceCaller, ServiceGps) para iniciarse automáticamente al encenderse el dispositivo (RECEIVE_BOOT_COMPLETED).
    • Ejecuta servicios en segundo plano persistentes disfrazados con nombres inocuos (por ejemplo, SegundoPlano con notificación titulada “Internet”).
  • Abuso de Privilegios de Administrador del Dispositivo:
    • Solicita privilegios de administrador de dispositivos a través de AtivarPermissao para evitar la desinstalación.
    • Oculta su presencia disfrazando íconos y nombres de aplicaciones (por ejemplo, “Internet” para MainActivity, “WiFi” para ActiveWifi).
  • Explotación de Acceso Root:
    • Intenta obtener acceso root para remontar la partición /system e instalarse como aplicación del sistema.

Abuso de Servicios de Accesibilidad

  • Intercepción de Interacciones del Usuario:
    • Utiliza Servicios de Accesibilidad para supervisar e interactuar con otras aplicaciones.
    • Permite capturar pulsaciones de teclas, leer mensajes y controlar acciones en el dispositivo sin el conocimiento de la persona usuaria.

 

Evaluación de las Capacidades de Celular 007

El análisis técnico de Celular 007 revela una aplicación de stalkerware altamente sofisticada que emplea una combinación de técnicas avanzadas para vigilancia, exfiltración de datos y persistencia en el dispositivo:

  • Sofisticación Tecnológica:
    • El uso de WebRTC para transmisión en tiempo real y el abuso de los Servicios de Accesibilidad demuestran un alto nivel de complejidad.
    • La capacidad de grabar llamadas, capturar pantalla y acceder a datos personales lo convierte en una herramienta extremadamente invasiva.
  • Abuso de Servicios Legítimos:
    • Utilizar Firebase Cloud Messaging como canal de comando y control permite al stalkerware disfrazarse bajo tráfico legítimo, dificultando su detección.
    • Esto resalta la necesidad de colaboración entre proveedores de servicios como Google y la comunidad de seguridad para identificar y mitigar tales abusos.
  • Técnicas de Evasión y Persistencia:
    • Disfrazarse como aplicaciones del sistema y solicitar privilegios de administrador del dispositivo impide que perosnas usuarias menos expertas detecten o eliminen fácilmente la aplicación.
    • El inicio automático al arranque y los servicios en segundo plano garantizan que el stalkerware permanezca activo continuamente.
  • Implicaciones para la Seguridad del Usuario:
    • La extensión de las capacidades de Celular 007 representa una seria amenaza para la privacidad y seguridad de las personas afectadas.
    • La posibilidad de que grandes proveedores de servicios identifiquen y notifiquen a personas usuarias infectados es una oportunidad para mitigar el impacto de este y otros stalkerware.

Esta evaluación enfatiza la gravedad de las amenazas planteadas por aplicaciones como Celular 007 y la importancia de estrategias colectivas, tanto técnicas como comunitarias, para combatir la vigilancia ilegal y proteger la privacidad de las personas usuarias.

 

Análisis de los Datos Filtrados

Fuga de Datos

En junio de 2024, el stalkerware brasileño conocido como FoxSpy, o Celular 007, estuvo involucrado en una filtración significativa de datos. La organización sin fines de lucro Distributed Denial of Secrets (DDoSecrets) compartió los datos comprometidos con nosotros, lo que nos permitió realizar un análisis en profundidad de las operaciones del stalkerware y revelar la exposición de información sobre sus víctimas.

La filtración incluyó una copia de la base de datos del panel de clientes del stalkerware, junto con una copia del servidor de comando y control (C2). Es notable que el servidor C2 fue implementado de manera no convencional, utilizando fragmentos de código PHP incrustados en publicaciones de WordPress.

Principales Hallazgos de la Fuga

  • Dispositivos Infectados:
    • El stalkerware tenía 61,408 tokens de Firebase registrados en su servidor C2. Este número sirve como una estimación del total de dispositivos infectados.
  • Usuarios Registrados:
    • Había 116,079 clientes registrados, con la base de datos conteniendo sus correos electrónicos de registro, contraseñas y, en algunos casos, números de teléfono.
    • 92 clientes utilizaron una cuenta de correo electrónico gov.br para el registro, lo que sugiere que empleados gubernamentales son usuarios del stalkerware.
      • Entre estos 92, hay ocurrencias de dominios de instituciones educativas, Secretarías de Educación, ayuntamientos, una institución de saneamiento básico, el Tribunal de Justicia, y dos correos electrónicos de los dominios de la policía militar y civil, respectivamente.
    • También están presentes correos electrónicos de empresas de diversos tamaños, incluyendo las de los sectores agrícola y minero, así como bufetes de abogados.
  • Datos Sensibles Expuestos:
    • Datos Personales: Agendas de calendario, registros de llamadas, listas de contactos y ubicaciones GPS.
    • Comunicaciones: Mensajes de Facebook, Instagram, WhatsApp y SMS.
    • Archivos Multimedia: Fotos tomadas por las víctimas y aquellas capturadas secretamente por el malware.
    • Registros de Teclas: Registros de entradas de teclado.

Además, la base de datos listaba los nombres de archivos subidos por el malware al bucket celular007de Amazon S3, permitiendo que cualquiera con acceso a esta base de datos recuperara esos archivos.

Mapa de Calor:

  • Al analizar las coordenadas GPS de las víctimas, creamos un mapa de calor que representa la distribución geográfica de las ubicaciones de las víctimas.

 

Figura 3: Mapa de calor de la distribución geográfica de las víctimas de Celular 007.

El mapa ilustra las regiones del mundo en las que se encuentran los dispositivos infectados, lo que pone de relieve el alcance mundial del stalkerware.

 

Implicaciones de la Fuga

Este incidente forma parte de una tendencia preocupante relacionada con el uso generalizado de stalkerware y los riesgos que estas herramientas representan para la privacidad y seguridad de las personas. Las filtraciones de datos provenientes de empresas de stalkerware exponen aún más los peligros inherentes a estas tecnologías:

  • Exposición Masiva de Datos Personales:
    • La filtración de información sensible recopilada por Celular 007 revela la extensión de la invasión de privacidad sufrida por las víctimas.
    • Datos como mensajes personales, registros de llamadas, ubicación GPS y archivos multimedia son expuestos, aumentando el potencial de daños emocionales, psicológicos y físicos.
  • Riesgos para Víctimas y Perpetradores:
    • Las víctimas sufren una doble violación: además de ser monitoreadas sin consentimiento, sus datos personales son expuestos públicamente debido al almacenamiento inseguro por parte de los desarrolladores del stalkerware.
    • Los perpetradores también pueden ser identificados a través de las filtraciones, enfrentando posibles consecuencias legales y sociales.
  • Involucramiento de Instituciones Gubernamentales y Empresas:
    • La presencia de cuentas registradas con dominios de correo electrónico gubernamentales y empresariales indica que funcionarios públicos y organizaciones privadas pueden estar involucrados en prácticas de vigilancia ilegal.1
    • Esto plantea serias preocupaciones éticas y legales, además de minar la confianza pública en estas instituciones.
  • Fallos de Seguridad en las Empresas de Stalkerware:
    • Los desarrolladores de stalkerware a menudo no implementan medidas de seguridad adecuadas, resultando en filtraciones que afectan a miles de personas.
    • Esto demuestra la irresponsabilidad de estas empresas al proteger los datos que ellas mismas recopilan ilegalmente.
  • Normalización de la Vigilancia Ilegal:
    • El uso generalizado de stalkerware contribuye a la normalización de prácticas invasivas, perpetuando ciclos de abuso y control.
    • Es fundamental combatir la aceptación social de estas herramientas y promover la conciencia sobre sus impactos nocivos.
  • Necesidad de Acción Regulatoria:
    • Las filtraciones evidencian la urgencia de regulaciones más estrictas para prohibir la comercialización y uso de stalkerware.
    • Las autoridades deben responsabilizar legalmente tanto a los desarrolladores como a los usuarios de estas herramientas.

En resumen, la filtración de datos de Celular 007 no es solo un incidente aislado, sino un síntoma de un problema mayor relacionado con la existencia y uso de stalkerware. Estos eventos subrayan la necesidad de acciones coordinadas para proteger la privacidad individual, reforzar la seguridad digital y responsabilizar a quienes facilitan y participan en prácticas de vigilancia ilegal.

 

Reconocimiento del Aporte de DDoSecrets

Extendemos nuestro agradecimiento a Distributed Denial of Secrets (DDoSecrets) por proporcionar acceso a los datos filtrados, que fueron esenciales para este análisis. DDoSecrets es una organización sin fines de lucro especializada en la publicación y recopilación de conjuntos de datos filtrados o hackeados en el interés público, con la misión de proteger las fuentes. Su trabajo apoya el periodismo de investigación y los esfuerzos de análisis encaminados a promover la transparencia y la rendición de cuentas.

Para obtener más información sobre DDoSecrets y su trabajo, visite su sitio web y considere la posibilidad de apoyar: https://ddosecrets.com/

 

Estrategias Colectivas para la Protección

Reconociendo las Señales de Stalkerware

Pasos Prácticos para la Detección

  1. Verifique las Aplicaciones Instaladas:
    • Busque Aplicaciones Desconocidas o Sospechosas:
      • Revise la lista de aplicaciones instaladas en su dispositivo.
      • Preste atención a aplicaciones que no recuerda haber instalado o que no reconoce.
    • Nombres Disfrazados:
      • El stalkerware a menudo utiliza nombres genéricos o se disfraza como aplicaciones legítimas o del sistema.
      • En el caso de Celular 007:
        • La aplicación puede aparecer con el nombre “Internet” o “WiFi” para engañar la persona usuaria.
      • Otros ejemplos comunes:
        • Aplicaciones con nombres como “Configuraciones”, “Actualizaciones”, “Sistema”, o combinaciones aleatorias de letras.
  2. Revise los Permisos de las Aplicaciones:
    • Examine los Permisos Concedidos:
      • Vaya a Configuración > Aplicaciones y revise los permisos de cada aplicación.
      • Desconfíe de aplicaciones que solicitan acceso a datos sensibles (como ubicación, micrófono, cámara, mensajes) sin una razón clara.
  3. Inspeccione las Configuraciones de Administrador de Dispositivos:
    • Verifique las Aplicaciones con Privilegios de Administrador:
      • Acceda a Configuración > Seguridad > Administradores de Dispositivos.
  4. Monitoree el Uso de Batería y Datos:
    • Consumo Anormal:
      • Observe si hay un consumo de batería o datos móviles mayor de lo normal.
      • El stalkerware operando en segundo plano puede causar un drenaje rápido de la batería y alto uso de datos.
  5. Verifique los Servicios de Accesibilidad:
    • Permisos de Accesibilidad:
      • En Configuración > Accesibilidad, verifique qué aplicaciones tienen acceso a estos servicios.
  6. Identifique Indicadores de Compromiso (IoCs):
    • Esté Atento a Señales Específicas:
      • Familiarícese con dominios, direcciones IP y hashes de archivos asociados con stalkerware conocido (ver Apéndice).
      • Utilice herramientas de seguridad confiables para escanear su dispositivo en busca de estos indicadores.

 

Señales de Compromiso

  • Comportamientos Inesperados:
    • Aplicaciones que se abren o cierran solas.
    • El dispositivo se reinicia sin motivo aparente.
  • Rendimiento Alterado:
    • Lentitud repentina del dispositivo.
    • Calentamiento excesivo sin uso intensivo.
  • Notificaciones o Mensajes Extraños:
    • Mensajes que no reconoce.
    • Notificaciones de servicios desconocidos.
  • Conocimiento Inexplicable de sus Actividades:
    • Alguien parece saber información privada que no ha compartido.

 

Medidas Preventivas

Higiene Digital

  • Comunicación Segura:
    • Use aplicaciones de mensajería encriptada como Signal.
  • Actualizaciones Regulares:
    • Mantenga su dispositivo y aplicaciones actualizados.
  • Autenticación Fuerte:
    • Use contraseñas robustas y habilite la autenticación de múltiples factores.

Seguridad Física

  • Limite el Acceso Físico:
    • Proteja dispositivos con contraseñas o biometría.
  • Cuidado al Compartir Dispositivos:
    • Sea cauteloso al prestar su dispositivo a otras personas.

Participación Comunitaria

  • Educación y Conciencia:
    • Participe en talleres y comparta conocimientos.
  • Defensa Colectiva:
    • Construya redes de apoyo y cuiden unas de otras.

 

¿Qué Hacer si Sospecha de Stalkerware?

  1. No Se Apresure a Eliminarlo:
    • La eliminación repentina puede alertar la persona perpetradora.
  2. Busque Ayuda Profesional:
    • Comuníquese con organizaciones como InterSecLab para orientación.
  3. Documente Evidencia:
    • Registre de forma segura detalles sobre la aplicación sospechosa.
  4. Use un Dispositivo Seguro:
    • Comunique desde un dispositivo seguro para cambiar contraseñas.
  5. Desarrolle un Plan de Seguridad:
    • Priorice su seguridad física y digital.

 

Estrategias Colectivas para la Resistencia Digital

Defensa Comunitaria

  • Comparta Conocimiento y Recursos:
    • Organice eventos educativos y distribuya materiales.
  • Redes de Apoyo:
    • Colabore con organizaciones y fomente el diálogo abierto.

Acción Legal y Defensa de Derechos

  • Cambio de Políticas:
    • Abogue por leyes más estrictas contra el stalkerware.
  • Responsabilidad Corporativa:
    • Exija procesos más rigurosos de revisión de aplicaciones y transparencia en el manejo de datos.

 

Convocatorias de Acción

  1. Revise Regularmente sus Dispositivos.
  2. Refuerce las Prácticas de Seguridad Digital.
  3. Eduque e Involucre a su Comunidad.
  4. Busque Asistencia Experta Cuando Sea Necesario.
  5. Abogue por Cambios en Políticas y Responsabilidad Corporativa.
  6. Utilice Herramientas de Detección de Forma Responsable.
  7. Construya y Participe en Esfuerzos de Resistencia Colectiva.

 

Cómo Puede Ayudar InterSecLab

InterSecLab ofrece servicios especializados para fortalecer la protección digital de la sociedad civil, con un enfoque transfeminista.

Servicios Ofrecidos

  • Análisis Forense:
    • Investigar dispositivos en busca de señales de compromiso.
    • Proporcionar informes detallados sobre los hallazgos.
  • Análisis de Malware:
    • Analizar software malicioso para entender sus capacidades y desarrollar contramedidas.
  • Respuesta a Incidentes:
    • Asistir a organizaciones e individuos en la respuesta a incidentes de seguridad digital.

Contáctese con InterSecLab:

 

Consideraciones Legales y Éticas

  • Respeto a la Privacidad:
    • La vigilancia no autorizada viola derechos individuales y puede ser ilegal.
  • Leyes de Protección de Datos:
    • Recopilar y exponer datos personales sin consentimiento infringe regulaciones.
  • Apoyo a las Víctimas:
    • Priorice la seguridad y consentimiento al asistir a individuos.
    • Colabore con organizaciones legales y de apoyo.

 

Conclusión

Celular 007 ejemplifica la grave amenaza que el stalkerware representa para la privacidad y seguridad individual. Combatir tales amenazas requiere un enfoque multifacético:

  • Vigilancia Técnica:
    • Reconocer señales de compromiso y mantener buena higiene digital.
  • Defensa Colectiva:
    • Construir conciencia, compartir conocimientos y apoyarse mutuamente.
  • Promoción de Políticas:
    • Presionar por marcos legales más fuertes y responsabilidad corporativa.
  • Empoderamiento mediante la Educación:
    • Proporcionar recursos y capacitación accesibles.

Al combinar la experiencia técnica con la acción comunitaria, podemos esforzarnos por un entorno digital más seguro, donde la privacidad y la autonomía sean preservadas.

 

Agradecimientos

Extendemos nuestra gratitud a:

  • Distributed Denial of Secrets (DDoSecrets) por proporcionar acceso a datos críticos.
  • Asociación para el Progreso de las Comunicaciones (APC) por organizar el Círculo de Aprendizaje Feminista.
  • Participantes del Círculo de Aprendizaje Feminista por compartir experiencias y construir conocimiento colectivo.

 

Recursos Adicionales

  • Take Back the Tech:Campaña que conecta la violencia contra las mujeres y la tecnología, ofreciendo recursos y estrategias para la acción.https://takebackthetech.net/es/blog/stalkerware-y-vigilancia-digital-dirigida-que-es-y-cuales-son-las-estrategias-para-cuidarnos
  • Maria d’Ajuda:Línea de apoyo en seguridad digital creada por feministas brasileñas, enfocada en mujeres, personas no binarias, LGBTQIA+ y organizaciones en América Latina. Ofrece asistencia de emergencia en seguridad digital y cuidado digital, utilizando una metodología feminista de acogida y resolución de problemas.https://marialab.org/mariadajuda/
  • Coalición Contra el Stalkerware:Una iniciativa global que une organizaciones para combatir el uso de stalkerware, proporcionando recursos para víctimas y profesionales de seguridad.https://stopstalkerware.org/
  • Association de lutte contre les cyberviolences sexistes (Echap):Organización francesa que mapea stalkerware en todo el mundo, incluyendo versiones brasileñas en su repositorio de GitHub. Echap trabaja para combatir la violencia cibernética sexista y ofrece recursos para víctimas y profesionales.https://echap.eu.org/
  • Programa de Derechos de las Mujeres de APC:Iniciativa que promueve los derechos de las mujeres en la era digital, proporcionando investigación, capacitación y defensa en temas como violencia en línea y acceso a la tecnología.https://www.apc.org/en/wrp
  • Red Nacional para Poner Fin a la Violencia Doméstica (NNEDV):Organización en Estados Unidos que trabaja para acabar con la violencia doméstica, proporcionando recursos y apoyo para sobrevivientes, incluyendo información sobre seguridad tecnológica.https://www.nnedv.org/

 

Apéndice: Indicadores de Compromiso (IoCs)

Introducción al Apéndice

Este apéndice proporciona una lista de Indicadores de Compromiso (IoCs) asociados con Celular 007. Los IoCs son artefactos observables en sistemas o redes que pueden utilizarse para identificar actividades maliciosas. Profesionales de seguridad y usuarios avanzados pueden utilizar esta información para detectar y remediar posibles infecciones por el stalkerware en dispositivos Android.

 

URLs y Dominios

  • https://foxspy.com[.]br/aovivo/comandos.php
  • http://remoto.foxspy.com[.]br
  • http://pc.foxspy.com[.]br
  • http://52.0.165[.]204/filewav.php?arquivo=
  • https://s3.amazonaws.com/aplicativo/

 

Archivos

  • “JB7” – Base de datos SQLite utilizada para sincronizar datos con el servidor C2.
  • “erro.txt” – Utilizado para registrar errores y excepciones no capturadas.

 

Archivos Descargados desde el Bucket S3

  • arm64-v8a.zip
    • SHA-256: 62e34ff9e12b7d486a59f2cdfd4778dfe53c61ddec23341c032c639788a02793
  • armeabi-v7a.zip
    • SHA-256: 0ccc66df0b22a6322885b5bfd34ab509d3365ac390c8a042fe7f3578a23c4758
  • armeabi.zip
    • SHA-256: 9577f4fedc0cbb5ceab45ef232be16332dc4133c30ce874326a61a2a169473bf

 

Direcciones IP

  • 52.0.165[.]204

 

Hashes de Archivos

  • Archivo APK:
    • MD5: 906d64601e33529d47ef3ec17bbc6839
    • SHA-256: 5ee8934d85e2bc263bbe91bae8c202f6ff634c69f77e001eb98b3f7be05d8336

 

Glosario de Términos Técnicos

  • APK (Android Package Kit): Formato de archivo utilizado para distribuir e instalar aplicaciones en dispositivos Android.
  • AWS (Amazon Web Services): Plataforma de servicios de computación en la nube de Amazon.
  • Firebase Cloud Messaging (FCM): Servicio de Google que permite el envío de notificaciones push a dispositivos móviles.
  • IoCs (Indicadores de Compromiso): Evidencias de que un sistema puede haber sido comprometido por actividad maliciosa.
  • Servicios de Accesibilidad: Funcionalidades del sistema operativo que ayudan a usuarios con discapacidades, pero que pueden ser abusadas por aplicaciones maliciosas para obtener control adicional.
  • Stalkerware: Software que permite a alguien monitorear secretamente las actividades de otra persona en su dispositivo.
  • WebRTC (Web Real-Time Communication): Tecnología que permite comunicación en tiempo real de audio y video a través de la web.

 

Aviso

Este informe tiene como objetivo proporcionar información para concientizar sobre los peligros del stalkerware. Busca promover las mejores prácticas de ciberseguridad y apoyar esfuerzos para proteger a las personas de la vigilancia y el abuso digital. El uso o difusión no autorizados de software malicioso es ilegal y poco ético.

 

Información de Contacto

Para obtener más información o para comunicar preocupaciones relacionadas con el stalkerware, por favor, contáctenos:

 

Este informe es un esfuerzo colaborativo para concientizar sobre el stalkerware y promover estrategias colectivas de protección. La reproducción y distribución para fines no comerciales están permitidas con la debida atribución.

Nota: La inclusión de herramientas, métodos o Indicadores de Compromiso (IoCs) específicos es solo con fines informativos y no constituye un respaldo. Siempre actúe con precaución y consulte a profesionales al tratar con posibles amenazas de seguridad.

 

  1. Nota sobre la autenticidad del correo electrónico:

    Es importante tener en cuenta que no verificamos la autenticidad de estos correos electrónicos ni confirmamos si estas cuentas realmente se utilizaron con fines de espionaje o vigilancia ilegal. La presencia de un correo electrónico en una base de datos no implica necesariamente un mal uso o actividades ilegales. Es posible que dichas cuentas se hayan creado con fines legítimos, como investigaciones o pruebas de seguridad por parte de las autoridades encargadas de hacer cumplir la ley.

    Sin embargo, una simples presencia de estas cuentas en una base de datos de stalkerware genera preocupaciones importantes sobre el potencial de uso indebido de estas herramientas por parte de instituciones que se supone deben proteger la privacidad y seguridad de las personas. Esto plantea serias cuestiones éticas y legales y socava la confianza pública en estas instituciones.

 

INTERSECLAB