El móvil fingió estar apagado pero siguió espiándote: análisis del software espía Cerberus
Explicamos una trampa que ni siquiera notan los usuarios más experimentados.
Cerberus volvió a estar en el centro de la historia, donde una aplicación de protección del teléfono se convierte en una herramienta de vigilancia. Según Mark Essler, autor del blog técnico hexproof, el programa está disponible en Google Play y puede grabar al propietario del teléfono sin que lo note, grabar audio, rastrear la geolocalización y ejecutar comandos desde un panel de control remoto.
Se trata de Cerberus Anti-theft de la italiana LSDroid SRL. La suscripción cuesta 5 euros al mes, y la versión actual está en Google Play desde el 4 de octubre de 2023. Essler afirma que la aplicación puede iniciar grabaciones secretas con la cámara frontal y la principal, grabar vídeo y audio, leer contactos, el registro de llamadas y los SMS, enviar mensajes en nombre del propietario, bloquear el dispositivo, borrar datos y mostrar texto especificado en la pantalla de bloqueo.
El análisis presta atención especial a la función de falso apagado. Cerberus puede mostrar una pantalla de apagado de Android casi indistinguible de la del sistema, luego oscurecer la pantalla pero mantener el teléfono activo. En ese estado, la cámara, el micrófono y el GPS siguen funcionando.
La aplicación también tiene componentes asociados. Lock Screen Protector, publicado por la misma cuenta de desarrollador, solicita acceso a las funciones especiales de Android. Tras conceder el permiso, el programa puede leer el contenido de la pantalla, realizar gestos y capturar pantallas. Al intentar apagar el teléfono, cierra el menú de energía del sistema y transmite a Cerberus la imagen de la pantalla de bloqueo.
Según Essler, Cerberus ya apareció en trabajos académicos como software de acecho en relaciones. En 2018, especialistas de Cornell Tech y de la NYU lo notificaron a Google. Más tarde, la aplicación fue eliminada de Google Play por otra razón relacionada con la instalación de programas desde fuentes externas. En 2023, Cerberus volvió a la tienda con un nuevo nombre de paquete, pero, según el autor del análisis, conservó la mayor parte de sus funciones anteriores.
La publicación también señala que varias aplicaciones de LSDroid usan la biblioteca HiddenApiBypass, que ayuda a acceder a funciones ocultas de Android. Según el autor, ese componente y el conjunto de funciones de Cerberus contravienen las normas de Google Play sobre comportamiento malicioso y software de acecho.
Según el análisis, Google está relacionado con Cerberus a través de varios servicios. Google Play distribuye las aplicaciones, AdMob muestra anuncios y Firebase se usa para transmitir comandos a los dispositivos. El autor afirma que Google recibió un aviso antes de la publicación, pero en el momento de la publicación del material las aplicaciones seguían disponibles.
Para las víctimas, el riesgo principal no está solo relacionado con la vigilancia, sino también con intentar eliminarlo por su cuenta. Cerberus y sus componentes asociados pueden notificar al operador sobre cambios de permisos y otras acciones en el dispositivo. Los especialistas en protección de víctimas de violencia doméstica suelen aconsejar revisar esos teléfonos solo desde un dispositivo seguro y con el apoyo de organizaciones especializadas.