Acudo a ustedes con un asunto de suma importancia, relacionado a un hackeo/intervencion a gran escala, el cual converge actualmente en toda la ciudad de guadalajara (se desconoce el alcance exacto de dicho hackeo/ataque, y es parte del motivo de esta publicación) dicho ataque conlleva el completo control de dispositivos Android, computadoras laptop, equipos de escritorio y se presume que también incluso automoviles.
Como mencione al inicio, acudo a ustedes para verificar el alcance de dicho hackeo, esperando no ser tan tecnico (aunque a su vez, el nivel de especificidad y habilidad del ataque lo requiere) pero sobre todo, esperando su retroalimentacion y plena confianza para poder comentar todo lo relacionado al tema y poder sacar a la luz dicho problema
Mi nombre es Jesus Hernandez, Licenciado en Tecnologías de la informacion con especialidad en Hackeo Ético y analisis forense digital, asi como Tecnólogo en Informatica y computación con especialidad en Redes. Resido actualmente en el Municipio de Tonala, Jalisco (considerado parte de la Zona Metropolitana de Guadalajara).
Se presume que el epicentro de infección y/o ataque (cubre cierto rango de acción) se dió y se continua dando en una calle de nombre Andador Tonaltecas, Esquina con Andador San Juan, de la cual soy residente (anexo foto de google maps para que se den una idea de la ubicación) a continuación procedere a relatar los hechos y evidencia tomada que me ha llevado al descubrimiento mencionado. También anexo una captura de pantalla donde se aprecia que la aplicación OpenSignal marca que existe una torre celular en dicho punto, cuando en el sitio no hay nada (esto tendrá relevancia mas adelante, cuando se planteen los hechos en relacion a los provedores de telefonia y las APN's) dicho punto también corresponde al foco de infeccion antes mencionado **CAPTURA DE OPENSIGNAL
A inicios del año 2019, comencé a notar cierto retraso en los paquetes de mi red local, TTL's (Tiempo de vida en los paquetes que viajan de un origen a un destino) que no correspondian a los caminos segmentados por mi proveedor de servicios (en este caso Totalplay) asi como ping elevado (tiempo que toma un servidor o servicio en responder) velocidad de descarga reducida, entre otros factores, que me llevaron a aplicar un analisis mas profundo del trafico local e inalambrico.
Dicho analisis, arrojó equipos en mi red local que no eran mios y que también aparecian y desaparecian, además de cambiar su MAC address constantemente, en relacion al tráfico inalambrico cifrado (hago enfasis en cifrado porque nunca se buscó vulnerar dicha información ni hacer capturas de paquetes que no estuviesen dentro de mi propiedad) se encontró que equipos de escritorio, sin ningun tipo de interfaz de red inalambrica, estaban "saliendo" por mi router como señal inalambrica.
Fue ahí cuando comenzó todo, analisis posteriores arrojaron procesos presuntamente "nativos" de los sistemas operativos en equipos moviles, laptop y de escritorio (haremos enfasís primero en los equipos moviles con sistema operativo Android, para después comentar lo que pasa en otro tipo de equipos) estos procesos, que a simple vista se hacen pasar como los del sistema, se encuentran parcheados o sandboxeados (lease como entornos simulados) lo cual hace casi imposible su detección por parte de cualquier software antivirus, ya que al llamarse como procesos (pero aclarando, que no lo son) del sistema y sumado al entorno sandbox da como resultado que pasen desapercibidos. Tenemos también mediciones de radiofrecuencia elevadas en el punto fisico, asi como las capturas de tráfico cifrado antes mencionado. Pasemos bien a los pasos y a relatar los hechos
GUIA PARA VERIFICAR EL HACKEO DE TU DISPOSITIVO ANDROID
1.- En primera instancia, dicha guia se busca que sea de caracter publico y general, verificable por cualquier persona interesada en saber si su equipo ha sido vulnerado o en saber mas del tema.
2.- Cualquier duda al respecto, pueden contactarme al numero **editado** mediante whatsapp o al correo **editado** con toda la confianza y disposicion del mundo, ya que este tema requiere del apoyo de todas las partes involucradas, aunque hasta el momento mi integridad digital sigue vulnerada, recomiendo hacerlo mediante el numero mencionado a Whatsapp.
3.- Además de buscar saber si tu dispositivo ha sido vulnerado, también se busca hacer un senso para establecer el alcance del ataque, ya que por las tecnicas utilizadas, se presume una cantidad superior a los mil equipos como minimo en la zona geográfica de la ciudad de Guadalajara.
5.- Se agradeceria el apoyo para traducir esta guía a otros idiomas, como el frances, italiano o aleman, ya que se han visualizado direcciones de servicios que apuntan a dichos paises y de nuevo contando con ver el alcance hacia estas regiones del mundo (Si, asi de grande es el impacto y así de importante es el hecho).
EMPECEMOS
Primero, entiendase que la posibilidad de que un ataque de tal magnitud y efectividad sea realizado sin la interaccion del usuario (esto es, sin que ustedes hayan ingresado a algun link o dado "click" en alguna publicación) es rara, esto habla también del como y el porqué de dicho ataque, sus especificaciones tan exactas hacen también que los causantes sean revelados de manera sencilla, solo hay que saber donde buscar.
Entonces ¿Hasta que punto nos referimos o como podemos definir un ataque informático? Hay muchas maneras de explicar este punto, pero centremonos en que un ataque informático es todo aquel que vulnere la propiedad digital y/o habeas data de alguna empresa o persona. Existen desde los mal llamados "virus" (en realidad, la palabra correcta es malware) que se reproducen e infectan los equipos, ramsomware que "secuestran" tus archivos, backdoors que su traduccion literal hace enfasis en su accion (puertas traseras para que los atacantes entren) adwares (malware que llena de publicidad tu equipo) troyanos (que permiten control remoto de los equipos) y otra infinidad existente. Lo grave, en este caso y como se comentó anteriormente, es que dicho ataque no necesita que el usuario interactue con su equipo para que este ya sea vulnerado, sino que solo basta con haber recorrido una zona/radio de accion especifico (epicentro Tonala, mas concretamente a tres cuadras a espaldas de la comisaria de policia de Tonala) y/o haber entrado en contacto con otro dispositivo infectado (de igual manera, entrando en su zona/radio de comunicaciones) sumado al hecho de que es una combinación de tecnicas para que este pase desapercibido (se hace pasar por aplicaciones nativas del sistema, oculta interfaces, da y quita permisos especiales, entre otros).
Lo primero que noté, comenzando por los equipos moviles Android, fue que aunque estos estuviesen en modo avion, continuaban emanando señal de radiofrecuencia (medido con un equipo de nombre K18 detector) lo cual me llevo a fijarme mas a fondo en las interfaces de Wifi, bluetooth y en la señal de mi provedor de servicios telefónicos (en este caso telcel) fue ahí cuando detecté que en efecto aunque mis equipos estuviesen en modo avion estos contenian interfaces ocultas activas, por ejemplo, el Wifi siempre se encuentra encendido, además de que presuntamente mi sistema operativo se encontraba corriendo en una VirtualMachin o Entorno Virtual (esto revelado por una aplicación de nombre 3C Tools, la cual es la primera que necesito me apoyen a descargar de la Playstore para comenzar a comprobar dicho ataque, es necesario hacer un registro del sistema con dicha app, dejarla correr minimo 5 minutos con el modo avion activado y ver qué arroja en su caso, en el caso del entorno virtual, basta con revisar los logs de dicha aplicación) se presume también que la interfaz de Bluetooth se encuentra siempre activa (esto comprobable mediante la aplicación de Sophos X intercept, la cual también los invito a que la descarguen para verificar dicha información, anexo captura de pantalla 1 para que puedan valorar en que parte de la app sale esto) También en la misma app de Sophos X intercep encontré que existia una fuente desconocida de instalación de Apps **Captura de sophos 1 y 2
Lo siguiente fue encontrar dichas interfaces ocultas y los servicios/apps que las usaban, para mi sorpresa y como mencione anteriormente, estos servicios/apps al parecer "nativos" de Android, apuntaban a servidores presuntamente de Google, al inicio se me hizo relativamente "normal" pero cuando analicé mas a fondo tanto la resolución de dominios (peticiones DNS, mediante la app invizibleDNS la cual es la tercera app que nos ayudará en este caso, de igual manera los invito a descargarla de la playstore) asi como los dominios IP, encontré que dichos servicios y apps y sus destinos se encontraban "ofuzcados" esto es, enmascarados por dominios resueltos presuntamente por google, pero que solo se tratan de Wildcards o comodines de dominio que apuntan hacia otro sitio (Anexo captura de pantalla 3 y 4 donde se observan las direcciones de dominio ofuzcadas en letras rojas, asi como el Kernel lanzando paquetes a direcciones broadcast IPV6, y otro servicio/app de nombre Root apuntando al presunto DNS De google PERO sin yo tener mi dispositivo Rooteado)
Ademas, la aplicacion de NetGuard, la cual es un firewall que no necesita root, arroja un resultado interesante, y es que menciona que existe una app de nombre raiz (root) la cual hace peticiones a las mismas presuntas direcciones de google *******captura de pantalla de netguard
Despues, mediante la app de Ethwork, la cual es la cuarta app que invito a descargar para comprobar sus interfaces reales (incluidas las ocultas) encontré varias interfaces CCMNI con diferentes direcciones MAC que no eran las mias (ni las de Bluetooth, ni las de WiFI) ***capturas de ethwork
Esto me llevo a profundizar mas del lado de los servicios de red, mediante la quinta aplicación Termux, la cual es una consola/terminal para ingresar comandos, al momento de ingresar el comando "ip route show table all" encontré cantidad de direcciones IPv4 e IPV6 que se me hicieron interesantes, entre ellas destacan las direcciones de localhost 127.0.0.1 con propiedades de Broadcast (siendo que, dicha dirección se debe de utilizar solamente para servicios "locales") asi como otras direcciones IPv6 de broadcast con una segmentación extraña. **capturas de pantalla IPTABLES
Se hace enfasis en las direcciones localhost 127.0.0.1 y la direccion 0.0.0.0 ya que estas se han presentado en TODOS Los equipos y sistemas operativos infectados, si bien es una dirección usada para como su nombre lo dice, apuntarse a si misma, los servicios, puertos y aplicaciones que las utilizan, como en el caso de los equipos moviles, se utilizan para "enlazar" hacia otras direcciones y dominios (de ahí las capturas de pantalla previas donde se aprecia el atributo de broadcast aunque sean direcciones locales) haremos más enfasis en esto a futuro cuando se comenten los equipos de escritorio y laptops.
Continuando con Android y los equipos moviles, en mi caso, cuento con dos equipos; un Xiaomi RedmiNote 8 pro y un ZTE Blade V8 SE, el primero en su version global y el segundo comprado en Telcel, en ambos equipos algo que se me hizo raro fue notar que el volumen de la alarma no es posible asignarlo a mute o 0 %, esto será de importancia mas adelante. También, en ambos equipos, me es imposible entrar a los menus secretos ingresando las correspondientes combinaciones de numeros + tecla llamar, lo cual también llamo mi atención ya que literalmente me es imposible acceder a ciertos ajustes especiales (los atacantes ocultan dichos menus e ingresos) me he encontrado también con las opciones de interfaz de ambos equipos cambiadas, esto es, opciones que no se encuentran ahí o se encuentran con color opaco, como si hubiesen sido desactivadas; WifiDirect, Servicios de Tethering, Soporte para multiples usuarios, APN's que no corresponden a Telcel o a ningun otro proveedor de servicios de telefonia **CAPTURAS DE APNs estas APN's cabe resaltar que no pueden ser modificadas ni eliminadas.
La manera en la cual me di cuenta de que dichas opciones se encontraban desactivadas o directamente no se encontraban a simple vista, fue usando la aplicacion de Hide Settings y MIUI Hide Settings, de estas dos apps la sexta que puede ayudarnos a definir si ustedes también tienen opciones ocultas es la de Hidde Settings, la cual si bien su nombre indica "ajustes ocultos" también nos arroja las opciones desactivadas por los atacantes (ya que dicha app recopila todas las rutas de acceso a dichas opciones, independientemente de que hayan sido desactivadas) en dicha aplicacion fue donde encontré acceso a las APN's mencionadas, e incluso la imposibilidad de acceder a ajustes que deberían de estar en los menus normales, haciendo enfasis en todo lo que tiene que ver con las interfaces Bluetooth y WiFi.
El hecho de tener las interfaces ocultas, diversas direcciones MAC's, los ajutes de Wifi y BLuetooth ocultos para todo lo relacionado con el Tethering o comparticion de datos mediante Hotspot, la manera en la cual existen direcciones ofuzcadas y/o IPV4 localhost e IPV6 localhost apuntando hacia broadcast, nos habla de que los atacantes tienen montada toda una red mesh (o red de punto a punto) que hace posible la comunicación entre todos los dispositivos infectados, este punto es el eje central de la manera en la cual los dispositivos son infectados y controlados, ya que brindan la redundancia necesaria para que estos siempre esten conectados, incluso en modo avion o incluso sin contar con una conexión Wifi/Datos moviles. De esto, podemos encontrar evidencia en los registros del Logcat y Debuglogger de cada equipo, donde se puede observar la activación de las interfaces bluetooth y wifi de manera oculta. Los invito a que ustedes desde el menu CIT o desde el Engineer mode capturen sus propios registros y los comparen con los mios, que les dejaré a continuacion anexados como archivos adjuntos de texto y haciendo enfasis en la captura de pantalla **CAPTURAS DE BLUETOOTH, donde, a pesar de yo NUNCA haber utilizado las interfaces de Bluetooth o Tethering se aprecia que estas son activiadas y usadas. Asi como también el como el dispositivo conectado es anexado o wrappeado a procesos que se estan ejecutando, para captar el audio que se esta reproduciendo.
También, cabe resaltar que en el caso de las redes WiFi, tanto al momento de ubservarlas con el administrador de redes del equipo movil, asi como utilizando la septima app de Nombre Aruba Utilities (o cualquiera que sirva para observar los canales y redes Wifi Disponibles) encontramos que en los equipos infectados, el grafico de señal RSSI de TODAS Las redes encontradas permanece plano, sin cambios, cuando sabemos que ninguna señal es 100% plana, ya que el ambiente, las distancias, los objetos y demás variables afectan la recepcion de las antenas, esto de que las señales permanezcan planas nos sirve también para explicar el uso de la red mesh, ya que los atacantes requieren que la señal sea constante y fija para no perder la conexión hacia los equipos y tener una baja latencia. **captura aruba utilities
Todo este trabajo, en su conjunto, no podria ser realizado por una sola persona, el hecho de que las direcciones antes mencionadas apunten y salgan por y hacia servicios y apps de "Google", asi como el hecho de que, las interfaces bluetooth/wifi permanezcan activas con la misma cantidad de señal y coordinación, nos habla de un sistema inteligente y capaz de retroalimentar su señal constantemente. En mi caso, se ha descubierto que el asistente de google, a pesar de ser "desactivado" nunca desaparece, ya que se encuentra anidado en la aplicación de GoogleQuickSearchBox y en el entorno sandbox en si, resulta que el paquete de dicha aplicación recibe el nombre de Velvet.apk. Esto será de importancia mas adelante.
Comentando el tema del Sandbox, esto también fue descubierto gracias a los registros logcat y debuglogger, que arrojaron resultados interesantes en cuanto a los dominios que ciertas aplicaciones y servicios, brindados en un inicio por Google pero aprovechado por los atacantes, no corresponden a un entorno de un sistema operativo Android normal. ASi como el acceso a notificaciones, donde se observa que Google Play Service esta tomando datos de una Chromebook.
Algunos de los dominios que apuntan hacia un entorno sandbox son:
https://aa.google.com/u/0/_/gog/get <--Se desconoce que tipo de información se obtiene con el parametro GET ya que en mi caso los atacantes tienen el acceso bloqueado para mis equipos a este dominio, busco que alguien externo me ayude a hacer una auditoria de estos y/o comparemos los resultados al momento de ingresar a ellos para verificar la intromision mediante los servicios de Google y ver hasta donde llega el alcance de estas personas.
https://addons-pa.clients6.google.com/$rpc/google.internal.apps.addons.v1.AddOnService/ListInstallations <--Dominio de Remote Procedural Control. Se presume que los atacantes apuntan hacia este para saber que tipo de addons instalar en las aplicaciones que ya se encuentran instaladas en los equipos. De igual manera, se busca que alguien externo verifique dicho dominio y/o respuestas del mismo.[/size]
https://cello.client-channel.google.com/client-channel/channel/bind <--Canal añadido, de un servicio desconocido, de igual manera se busca saber que respuestas arroja en otros equipos y/o con otro analisis externo, ya que en mi caso me ha sido imposible verificar la integridad de dicho dominio, sin saber si realmente pertenece a google o no.[/size]
https://myactivity.sandbox.google.com/assistant/memory <-- Dominio con el subfijo sandbox, en mi caso al momento de entrar desde un navegador cualquiera, me redirecciona a la pagina de producto del asistente y no al ajuste correspondiente de memoria, recordando nuevamente que tengo al asistente desactivado e incluso desinstalado a simple vista, sin haberlo usado nunca. De aqui que se piense en el uso del asistente como vector de Comando y control, junto con otros dominios que les mostraré mas adelante. Se busca hacer enfasis en este, para ver qué respuesta les arroja a ustedes.[/size]
https://clients3.google.com/cast/chromecast/home <-- Dominio donde aparece una interfaz presuntamente de un chromecast con la misma hora del equipo desde donde se visita y con el poco texto que muestra encimado que después se acomoda, el analisis de codigo de la página arroja que los fondos de pantalla son brindados por un servicio proxy de google pero no por el dominio en si. Se busca obtener de manera externa mas información al respecto, asi como la respuesta que arroja el dominio con ustedes.[/size]
https://amp-actions-staging.sandbox.google.com <-- Otro dominio con el subfijo sandbox, se busca analizar de manera externa para obtener mas información al respecto.[/size]
http://android.clients.google.com/proxy/webautofill <-Dominio sin protocolo HTTPS donde un analisis posterior arroja que se usa como intermediario para rellenar y mostrar sitios web de google, otra prueba de que los servicios, opciones de cuenta y apps, no son lo que aparentan ser a simple vista. Se busca de igual manera analizar de manera externa para obtener mas información al respecto y/o buscar en sus correspondientes registros.[/size]
https://assistant.google.com/_/AssistantAgentdirectoryWebServerUi/gen204 <-- Similar al dominio de http://android.clients.google.com/proxy/webautofill pero tratandose del asistente de google, genera una plantilla de opciones del asistente en el entorno sandboxeado, para que, al momento de editar dichas opciones, estas nunca sean realmente aplicadas. Se busca obtener mas información al respecto.[/size]
pairdevice.gle <--Asi como se lee y escribe, abierto desde mis dispositivos android en navegador, hace una llamada a la funcion de emparejar con un dispositivo, con la sorpresa de que me aparece como si ya estuviese emparejado con uno! a pesar de tener modo avion activado y/o nunca haber utilizado BLuetooth. Este junto con los entornos Sandbox son en los que mas enfasis se busca hacer, ya que como se ha mencionado a lo largo de esta publicación, la red mesh y las interfaces bluetooth/wifi tienen todo que ver con este ataque. Se busca saber qué es lo que les aparece a ustedes al momento de ingresar a dicha URL.[/size]
Bien pues, se ha buscado analizar dichos dominios mas a fondo, pero gracias a la redundancia del ataque y a que literalmente cada peticion que hago en cualquiera de mis equipos, tanto moviles como laptop y/o de escritorio, son respondidos por los atacantes, me es imposible obtener mas información al respecto. Uno de estos ejemplos de respuesta es, por ejemplo, la pagina urlscan.io encargada de analizar sitios web, en la cual he tratado de analizar todos estos dominios obteniendo como respuesta subdominios ofuscados de google que apuntan hacia paises como Alemania y Francia, con información redundante.
Esto de las respuestas de los atacantes fue posible analizarlo gracias al tracing aplicado por navegadores como Brave o Edge, donde se aprecia una latencia de respuesta muy alta y de nuevo paquetes TTL's con valores altos.
Otro punto a tomar en cuenta es el desfase que existe entre la hora del dispositivo y la hora que muestran ciertas aplicaciones, como por ejemplo, en el caso de la aplicacion Infrasound Detector de Redvox y en el caso del sistema operativo Kali Linux, encontramos que ambos muestran una hora diferente a la que realmente tiene el dispositivo (observece la hora marcada por el reloj en la parte superior derecha, contra la hora marcada por la app en la parte de abajo
Esta hora de las apps afectadas se presume que se da gracias a la conexion con un servicio externo, que pertenece a los atacantes.
Por ultimo, mediante la aplicación de ARP GUARD encontramos que se producen registros de un dispositivo haciendo arp-spoofing, el cual tiene una dirección BROADCAST
Esto es de relevancia porque afirma la cuestion de que los servicios de broadcast se encuentran "enmascarados" junto con los procesos antes mencionados para poder salir por las interfaces ocultas y/o de tethering sin tener una ip "destino" como ya se mostró en las iptables.
Reiterando la importancia de este hecho, la manera en la cual los dispositivos son vulnerados sin la interacción del usuario, el acceso a permisos y total control del dispositivo, las interfaces ocultas, servicios parchados y/o sandboxeados, es lo que me ha llevado a acudir a toda la comunidad de internet para saber el alcance de dicho ataque.
En resumen, lo remarcable de todo este asunto son las interfaces de red utilizadas, la infección por parte de los atacantes sin interacción por parte del usuario, los servicios y el asistente de google, permite que una vez que el equipo es vulnerado, se utilice a dicho asistente para escuchar y documentar todo lo que pasa alrededor del equipo infectado, pudiendo hacer uso de las camaras del dispositivo y de los sensores que este posee se entiende entonces la gravedad de dicha intervencion ya que literalmente se sabe en todo momento que personas y/o objetos se encuentran al rededor de los equipos infectados.
Ofreciendo también mi mas sincera opinion profesional y bajo el decreto de que lo mencionado anteriormente es verdad y no busco hacer lucro ni aprovecharme de la situación, asi como también mencionar que las aplicaciones mencionadas no son dañinas ni contienen ningun permiso mas allá del que para que fueron diseñadas. Acudo a ustedes en busca de otras opiniones y buscando verificar los hechos, ya que la magnitud del problema, la especificación tecnica, la redundancia y el momento lo requiere.
Quedo al pendiente para cualquier cuestión o duda. De antemano muchas gracias.
[/size]Mod: No publicar información personal como números de telefonos o correos