Chapter 5: Discussion and Conclusion
5.4 Critical Review
5.4.7 Methodological Limitations
La lista que voy a enumerar a continuación son casos de malware que afectan a dispositivos con Jailbreak realizado.
El objetivo de esta lista es tratar de que el lector entienda a los riesgos que se expone al realizar el Jailbreak a su dispositivo.
Vamos a dividir esta lista en varias categorías:
1) Herramientas de malware enfocadas al público en general
2) Herramientas de malware realizadas por gobiernos o agencias enfocadas a un individuo específico
3) Herramientas de malware realizadas como parte de investigación
4) Herramientas de malware realizadas con el fin de ser vendidas al público para utilizarlas en individuos específicos
1) Herramientas de malware enfocadas al público en general
- IKee and Duh (Noviembre 2009)
El virus “Ikee” es un gusano que se transmite entre dispositivos con Jailbreak
que tienen OpenSHH instalado y que no han cambiado la contraseña root por defecto. Lo que hace este virus es cambiarte el fondo de bloqueo por una foto del cantante británico Rick Astley.
Página 34 de 68
Dos semanas más tarde, un virus similar al “Ikee” aparece. Este virus, denominado como “Duh”, es bastante más peligroso que el anterior ya que
convierte al dispositivo con iOS en parte de un Botnet, que no es ni más ni menos que un conjunto de robots informáticos o bots que se ejecutan de manera autónoma y automática. Además, el artífice de la botnet puede controlar todos los dispositivos infectados de forma remota.
- “Find and Call” (Julio 2012)
“Find and Call” es una aplicación de la App Store que automáticamente
mandaba la lista de contactos del usuario al servidor de la compañía y mandaba en forma de spam a esos contactos un link a la aplicación.
- Packages by Nobitazz (Agosto 2012 y Septiembre 2013)
Nobitazz es un desarrollador de tweaks que incluyó adware en sus tweaks. Este adware iba oculto en paquetes gratuitos y algunos de pago que vendía en Cydia. Lo que hacía este adware es correr publicidad en segundo plano, de tal manera que no aparecía la publicidad en pantalla pasando totalmente desapercibida mientras el desarrollador se lucraba a costa de los usuarios.
- AdThief/Spad (Marzo y Agosto 2014)
AdThief o Spad, es un malware conocido por robar los beneficios de la publicidad de los desarrolladores de tweaks. Es decir, lo que hace este malware es desviar los fondos del desarrollador a un tercero aprovechándose del trabajo del desarrollador.
- Unflod (Abril 2014)
Unflod es un software malicioso que trata de averiguar el usuario y contraseña
de Apple del usuario en cuestión utilizando MobileSubstrate para “escuchar”
toda la información que pasa por el dispositivo.
- AppBuyer (Septiembre 2014)
Es un malware que se conecta al servidor C&C, descarga y ejecuta archivos ejecutables maliciosos, roba la contraseña y el ID del usuario y lo sube al servidor del atacante. Además de simular los protocolos de Apple para comprar aplicaciones de la App Store con la identidad del usuario afectado.
- Xsser Mrat (Diciembre 2014)
Es un tipo de malware que se instala mediante un repositorio de Cydia, que recordamos que es la tienda de aplicaciones más conocida para los usuarios que han realizado el Jailbreak. Una vez instalado, no puede eliminarse y obtiene datos del usuario infectado mediante conexión remota.
Página 35 de 68 - Lock Saber Free (Julio 2015)
Es un tweak gratuito que una vez instalado, trae consigo un tweak extra que lo que hace es infiltrarse en los anuncios de las aplicaciones que tenga el usuario, modificando esta publicidad para que en vez de recibir dinero el autor de la web o aplicación, el dinero vaya destinado al autor del tweak.
- KeyRaider (Agosto 2015)
Es un malware que roba la contraseña y el ID del usuario, teniendo acceso a toda la información del usuario, incluyendo contactos, información personal y datos bancarios.
- XcodeGhost (Septiembre 2015)
Es una forma de malware que fue encontrada en unas distribuciones de Xcode que afectaban a desarrolladores chinos.
- Muda (Octubre 2015)
Es una forma de adware que incluye publicidad en aplicaciones ya instaladas y en la barra de notificaciones, además incita al usuario a instalar otro tipo de aplicaciones mediante notificaciones en pantalla.
- Youmi Ad SDK (Octubre 2015)
Este kit de desarrollo, utilizado mayormente por desarrolladores chinos, abusa de APIs de privacidad para recolectar datos más datos personales de los que permite la seguridad y privacidad de Apple. Algunos de estos datos son los siguientes: número de aplicaciones instaladas, número de serie del dispositivo y el correo de identificación utilizado en la cuenta Apple del usuario.
- Safari JavaScript pop-up scareware (Marzo 2017)
Este scareware lo que hace es bloquear el navegador Safari hasta que la víctima pague al atacante dinero en forma de una tarjeta de iTunes.
2) Herramientas de malware realizadas por gobiernos o agencias enfocadas a un
individuo específico
- Hacking Team Tools (Junio 2014 y Julio 2015)
Hacking Team es una compañía que vende capacidades de intromisión y vigilancia a gobiernos y a agencias encargadas de cumplir la ley, incluyendo herramientas para el espionaje en iOS. La principal herramienta que vendían
Página 36 de 68 requiere un dispositivo con Jailbreak, y consiste en controlar el dispositivo mediante control remoto.
- Inception (Diciembre 2014)
Inception es un “framework de ataque” que proviene de una fuente
desconocida y que tiene como objetivo ataques a individuos específicos con el objetivo de robar información. Para ello, se utilizan técnicas de phising mediante correos electrónicos y otras técnicas con malware. De acuerdo a un informe de agentes de seguridad, el objetivo de este malware puede recibir un
correo con un enlace donde ponga “Actualización de Whatsapp” y si el enlace
es pulsado por el usuario, automáticamente el malware toma y envía los datos del Apple ID del usuario, dirección, números de la agenda de contactos, la dirección MAC y más información privada.
- XAgent (Febrero 2015)
Es una herramienta de vigilancia con objetivos humanos específicos. Es un malware que se instala en forma de aplicación y esta aplicación está oculta, de tal manera que el usuario no puede verla. Este malware obtiene del usuario los mensajes de texto, fotos, contactos, datos sobre la geolocalización e incluso datos financieros.
- Pegasus (Agosto 2016)
Pegasus es un spyware vendido por el grupo NSO a gobiernos con el objetivo de atacar a disidentes políticos. Utiliza una cadena de exploits conocidos como
“Trident” para realizar el Jailbreak sin que el usuario se de cuenta e instalar
malware en él. Recientemente, en Junio de 2017, el New York Times reveló que el gobierno mejicano utilizó Pegasus para atacar a abogados, periodistas y activistas anticorrupción.
El objetivo de este spyware es el de recolectar información de todo tipo, a través de aplicaciones como Gmail, Facebook, Skype, Whatsapp, FaceTime, etc.
- Cellebrite (Febrero 2017)
Cellebrite es una firma israelí especializada en extraer información de teléfonos móviles para agencias de seguridad. El código utilizado es muy similar al utilizado para realizar el Jailbreak con la salvedad de que en este caso parte del código está diseñado con algoritmos de fuerza bruta para pasar la seguridad del dispositivo.
- CIA “Vault 7” materials (Marzo 2017)
En marzo de 2017, WikiLeaks sacó a la luz una colección de documentos de la CIA llamado “Vault 7”. Estos documentos, con fechas que abarcan desde el
2013 al 2016, incluyen información acerca de las herramientas que utiliza la CIA para hackear dispositivos con iOS. Entre estas herramientas, se encuentran
Página 37 de 68 métodos de control remoto, además de métodos para extraer todo tipo de información del dispositivo del usuario en cuestión.
3) Herramientas de malware realizadas como parte de investigación
- ISAM (Junio 2011)
Es una herramienta creada por desarrolladores de seguridad como una prueba de concepto. El funcionamiento es simple, busca dispositivos con el jailbreak realizado y que tengan SSH instalado, además de la contraseña root por defecto. Además mediante un exploit puede realizarle el Jailbreak a un dispositivo que no lo posea.
- Instastock (Noviembre 2011)
Instastock es el nombre de una aplicación creada por Charlie Miller. El objetivo de esta aplicación era subirla a la AppStore para demostrar que una aplicación que no cumple la seguridad impuesta por Apple puede colarse en su tienda de aplicaciones.
- NeonEggShell (Agosto 2015)
Es una Shell (intérprete de comandos) creado con el fin de probar que es posible tomar el control de un dispositivo con un pedazo de código no más que un post de Twitter. El proyecto incluía herramientas malware, que afectaban a dispositivos con jailbreak, para extraer información y registrar la posición del usuario vía satélite.
4) Herramientas de malware realizadas con el fin de ser vendidas al público para
utilizarlas en individuos específicos
- 1mole
Es una herramienta de espionaje disponible para todo el público mediante repositorio propio. En su propia web, se “vende” de la siguiente manera:
Para padres: ¿Van sus hijos al colegio? Asegúrese consultando su localización mediante GPS. Para individuos: ¿Has pensado alguna vez dónde estará tu teléfono perdido o robado? Para trabajadores: Instala este software en tu teléfono móvil del trabajo y tenlo localizado en tiempo real. Además, posee una lista de características bastante interesantes: averiguar la posición de alguien mediante su GPS, capturar la contraseña de desbloqueo de la pantalla, obtener cualquier mensaje de texto, obtener detalles de todas las llamadas realizadas e incluso obtener el historial del navegador del usuario.
Página 38 de 68
- Copy9
Es una herramienta de espionaje disponible para todo el público mediante un repositorio por defecto (ModMyi). Se describe así mismo como una herramienta para averiguar el paradero del ladrón de tu teléfono, averiguar si tu mujer te está engañando, tener controlados a tus hijos o trabajadores o simplemente tener una copia de seguridad de tus datos en nuestros servidores. Las características más destacadas de esta herramienta son: averiguar en tiempo real la localización del usuario en cuestión, obtener todo el historial de mensajes de cualquier red social e incluso activar el micrófono para escuchar en tiempo real a la víctima.
- Copy10
Es una herramienta similar a la anterior y se puede encontrar en el mismo repositorio (ModMyi). Sus creadores la describen de la siguiente manera: ¿Tienes problemas para confiar en tu pareja?, ¿Has notado algún cambio en el comportamiento de tus hijos y quieres saber por qué? ¿Crees que alguno de tus empleados es un espía de otra compañía y está robando propiedad intelectual de la empresa? Las funcionalidades de esta herramienta pasan por escucha en tiempo real del usuario hasta obtención de datos de redes sociales o financieros.
- FlexiSpy
Esta herramienta, al igual que las anteriores, es una herramienta enfocada al espionaje y que se puede descargar desde repositorio propio (FlexiSpy). Algunas de sus características son las siguientes: interceptar y escuchar conversaciones en tiempo real, utilizar el micrófono remoto para escuchar a la víctima en cuestión, tomar fotografías mediante control remoto, etc.
- IKeyMonitor Keylogger
Esta herramienta se puede encontrar en el repositorio denominado “BigBoss”.
Algunas de sus características son las siguientes: obtener el listado de llamadas del objetivo, activar el micrófono remotamente, activar el GPS de la víctima, además de poder tomar fotografías y vídeos sin que el usuario se entere.
- IKeyGuard Keylogger
Es una herramienta, que al igual que la anterior, se puede encontrar en el
repositorio “BigBoss”. Esta herramienta es lo que se denomina en español un “registrador de teclas”, es decir, permite grabar en un fichero lo que el usuario infectado escribe, para posteriormente mandar ese fichero vía online.
Página 39 de 68
- InnovaSpy
En este caso tenemos otra herramienta de espionaje, que se obtiene mediante
el repositorio “ModMyi”. Al igual que el resto, posee características de seguimiento mediante GPS, obtener fotografías de la víctima, obtener los SMS o las conversaciones de cualquier aplicación como pueda ser Whatsapp o Facebook e incluso escuchar en tiempo real al afectado en cuestión.
- Mobile Spy
Es una herramienta que se puede encontrar vía repositorio propio, autorizado por Retina-X Studios. Esta herramienta destaca por incluir las siguientes características: monitorización en tiempo real de la pantalla del dispositivo infectado, averiguar la posición mediante GPS, obtener detalles de las llamadas realizadas, obtener todas las imágenes de la galería de fotos, además de poder obtener cualquier dato de tipo financiero incluido en el dispositivo infectado.
- Mobile Stealth
Es una herramienta de espionaje que puede utilizarse tanto en dispositivos con el jailbreak realizado, mediante la instalación de la herramienta vía repositorio, o en dispositivos sin el Jailbreak, pero para ello es necesario saber el Apple ID y la contraseña. En cuanto a funciones destacadas de esta herramienta, se encuentran las siguientes: monitorización en tiempo real de la pantalla del dispositivo, escuchas en vivo mediante la activación remota del micrófono y averiguar la posición del usuario mediante el GPS.
- MSpy
Es una herramienta de espionaje que se obtiene mediante el repositorio
denominado “BigBoss”. Entre las características más destacadas se encuentran
las siguientes: controlar las redes sociales de la víctima (Whatsapp, Facebook, Twitter,etc), ver el historial de navegación, acceso al historial de llamadas, leer los mensajes de la aplicación iMessage (la aplicación de mensajería por defecto de Apple) incluyendo los mensajes borrados con anterioridad.
- OwnSpy
Es una herramienta de espionaje que se puede encontrar en el repositorio
“ModMyi”. Las características más destacadas son: grabación de llamadas y localización en tiempo real.
- Spy App
Es una herramienta de espionaje que se puede encontrar en el repositorio
Página 40 de 68 averiguar el historial de llamadas telefónicas, utilización de un KeyLogger para averiguar contraseñas o datos bancarios.
- SpyKey
Es una herramienta “registradora de teclas”, es decir, que registra todo lo que el usuario escribe y lo guarda en un fichero para posteriormente mandarlo vía
online. Se puede encontrar en el repositorio “BigBoss”. Es una aplicación que
permite controlar el teclado de tu pc mediante tu dispositivo iOS. En este caso es diferente a las demás porque en este caso el dispositivo infectado es un ordenador y no un iPhone o iPad.
- StealthGenie
Es una herramienta de espionaje disponible para el público mediante
repositorio propio (“FlexiSpy”). Además, también soporta otros sistemas operativos móviles. Las funciones más destacadas son la obtención del historial de llamadas, mensajes de redes sociales y monitorización en tiempo real de la localización del usuario. En noviembre de 2014, el encargado de dar publicidad y vender este producto fue condenado por un delito federal y tuvo que pagar 500.000$.