Una grave vulnerabilidad en Catwatchful, un spyware para Android disfrazado como software de control parental, expuso los datos de inicio de sesión de más de 62,000 cuentas, según el investigador de seguridad Eric Daigle.

Catwatchful permite a sus usuarios monitorear remotamente en tiempo real el dispositivo de la víctima, incluyendo el acceso a micrófonos, cámaras, fotos, videos, registros de chat y datos de ubicación GPS. Este spyware funciona de forma oculta en segundo plano, permaneciendo invisible para el dueño del dispositivo y evitando que pueda ser desinstalado fácilmente.

Aunque se comercializa como una aplicación de control parental, los desarrolladores de Catwatchful anuncian abiertamente que la aplicación es indetectable. Afirman que la app funciona de forma invisible y oculta, ofreciendo capacidades de monitoreo en modo sigiloso.

Al registrarse, los usuarios reciben un archivo APK preconfigurado con sus credenciales, que requiere acceso físico al dispositivo objetivo para su instalación. Una vez instalado, el spyware activa todas sus funciones de monitoreo en tiempo real.

Sin embargo, al examinar la infraestructura de Catwatchful, el investigador descubrió que el sistema era vulnerable a ataques de inyección SQL, lo que permitió acceder de forma no autorizada a la base de datos Firebase que almacena toda la información personal recopilada por el spyware.

Los datos filtrados incluyen nombres de usuario y contraseñas en texto plano de las 62,050 cuentas de Catwatchful, junto con detalles que vinculan las cuentas con dispositivos específicos y datos administrativos de seguimiento. Esta información expuesta podría permitir a atacantes tomar control de cualquier cuenta en el servicio.

La filtración también reveló información personal sobre el administrador de la operación, Omar Soca Charcov, con base en Uruguay, incluyendo su número de teléfono, dirección de correo electrónico y la ubicación de la base de datos Firebase.

En respuesta, Google mejoró su servicio Play Protect para advertir a los usuarios si detecta Catwatchful en sus dispositivos. El proveedor que alojaba la API de Catwatchful suspendió la cuenta responsable de la brecha, pero la API fue transferida a otro proveedor.

Actualmente, la base de datos Firebase sigue accesible mientras Google investiga si su presencia infringe las políticas de la empresa.

A pesar de su afirmación de ser indetectable, los usuarios de Android pueden verificar la presencia de Catwatchful marcando “543210” en su teléfono. Esta puerta trasera integrada hace que el spyware se revele para que pueda ser desinstalado.

Fuente: https://www.securityweek.com/undetectable-android-spyware-backfires-leaks-62000-user-logins/