Cuando compras un smartphone, uno de los primeras cosas que hacemos es escoger un patrón de desbloqueo, confiando en que, así, ningún cotilla podrá coger tu teléfono y leer tus conversaciones de WhatsApp. Si eres de los que piensan que solo su dedo es capaz de trazar una complicada ruta sobre la pantalla, estás equivocado: hackear el desbloqueo de un teléfono Android es más fácil de lo que piensas.
Además, los ladrones digitales pueden llegar mucho más lejos. No solo pueden entrar físicamente en tu móvil; también pueden hacerlo virtualmente o través del micrófono del teléfono. Ahora, además, pueden espiarte incluso cuando el móvil está apagándose.
A los que confían en que pulsar el ‘off’ de sus smartphones es suficiente para acabar su contacto con el mundo exterior, se les ha acabado el chollo: los espías virtuales podrán manejar los hilos remotamente, incluso cuando el dueño y el móvil creían estar durmiendo. Así lo han demostrado algunos investigadores en seguridad, que han probado cómo un troyano para los teléfonos Android puede hacer creer a los usuarios que han apagado su teléfono como hacen habitualmente.
El nuevo malware, al que se ha llamado Power Off Hijack, logra realizar una tarea muy peculiar: secuestrar el proceso de apagado del teléfono móvil del usuario. Cuando los usuarios presionan el botón de apagado o encendido, en realidad aparece un cuadro de diálogo falso que hace creer al usuario que su móvil está apagándose. Mientras, el malware está manipulando el archivo ‘system server’ del sistema operativo.
El dueño del teléfono se queda tan tranquilo, aunque el dispositivo no está precisamente descansando: el troyano puede realizar llamadas salientes (incluso a números extranjeros), disparar fotografías y realizar otras tareas sin notificárselo al usuario. En China, se habrían infectado ya 10.000 dispositivos con este software malicioso que parece propagarse a través de algunas apps.
Como recomendaciones para librarse de este troyano burlón que puede elevar tu factura de teléfono hasta límites insospechados, se encuentra, lógicamente, extraer la batería del móvil. Por mucho que se esfuercen los espías, todavía no son capaces de controlar móviles sin litio. Otro de los consejos es desinstalar apps de terceros que hayan podido provocar la entrada de estos ladrones silenciosos.
Aunque quitar y poner la batería puede servir para combatir Power Off Hijack, algunos hackers también están utilizando la información sobre su estado vital para espiar móviles. Investigadores de la Universidad de Standford, junto con un grupo de expertos israelíes, han desarrollado una nueva tecnología que han bautizado como Power Spy, capaz de detectar la geolocalización de los dispositivos Android incluso cuando tenemos el GPS apagado. ¿Cómo? Midiendo, precisamente, la utilización de la batería durante un tiempo determinado.
Los datos del wifi y la conexión GPS requieren nuestro permiso para activarse; sin embargo, los datos de consumo de la batería no lo necesitan y están libremente disponibles, por lo que se puede realizar un seguimiento del teléfono con una precisión de un 90%. Después, los ciberatacantes podrían aprovecharse de esos datos de localización como más les conviniera, ya que podrían tenerte localizado en todo momento.
Estos investigadores han demostrado las capacidades de Power Spy en dos teléfonos Nexus: gracias a su sistema podrían determinar la ubicación del teléfono incluso cuando su dueño no lo estaba utilizando. Power Spy accedería a tu teléfono sin que te des cuenta: podrías descargártelo sin ser consciente de ello junto con cualquier aplicación.
“Hemos demostramos que la medición del consumo de energía total del teléfono con el tiempo revela completamente la ubicación del teléfono y su movimiento”, ha explicado Yan Michalevski, uno de los investigadores.
Afortunadamente, esta tecnología tiene sus limitaciones: solo funciona en rutas predefinidas y cuando una persona ya ha viajado por esa ruta con anterioridad. “Si se toma el mismo viaje un par de veces, verás un perfil de señal y potencia muy claro”, ha dicho Michalevsky. Además, el seguimiento se realiza mejor en teléfonos con pocas aplicaciones instaladas que en aquellos con muchas apps, donde la energía se gasta de forma impredecible.
Así que cualquiera puede comenzar a espiar tu teléfono de formas que seguramente jamás te hubieras imaginado. La seguridad no es solo necesaria en tu ordenador de sobremesa: es imprescindible hasta en los rincones más pequeños de tu móvil.
¿Quieres probar nuestro antivirus gratis para Android?
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
1 comment