XNSPY, o la democratización de las herramientas de espionaje móvil

XNSPY Dashboard

Piense por un momento alguno de estos escenarios:

  • Una empresa, quizás de logística y transporte (no vamos a pensar retorcidamente…), en la cual al jefe o responsable le interesa saber dónde están en cada momento sus trabajadores.
  • Unos padres, ante la perspectiva de ese hijo recién adolescente, que empieza a salir con sus amigos.
  • La pareja celosa o desconfiada, que teme estar perdiendo a su cónyuge (no por su culpa, de hecho, sino por la de este).

En cualquiera de estos casos, la tecnología puede hacer acto de presencia. Todos llevamos un smartphone en nuestros bolsillos. ¡Diablos!, nos acompaña a todos los sitios, incluso al baño. Duerme normalmente con nosotros, en la mesita de noche. Es el centro de comunicaciones de prácticamente toda la sociedad del primer mundo.

Y por él pasa mucha, muchísima información.

No es raro por tanto que se junte el hambre con las ganas de comer, y surjan proyectos como XNSPY, un software espía para Android (ES) y iPhone (ES) que democratiza, hasta el extremo, las aspiraciones de control absoluto de cualquier individuo o grupo de ellos.

Accesible para cualquier persona, indistintamente de sus conocimientos técnicos

Y es que estamos ante una herramienta que ejemplifica a la perfección el nivel de abstracción a la que la informática nos ha llevado.

Los pasos para empezar a usar XNSPY son tan sencillos que cualquiera puede llegar a instalarlo en nuestro dispositivo.

Simplemente necesita tenerlo en mano alrededor de 30 segundos, o como en el primer caso arriba mencionado, tener acceso al sistema de MDM que controla las aplicaciones instaladas en los dispositivos de la compañía para realizar este paso automáticamente en todos los trabajadores.

XNSPY instalacion

Entrar en una URL específica, aceptar la descarga de un archivo marcado como potencialmente peligroso, darle todos los permisos que pide (prácticamente todos los permisos que existen), aceptar que además de eso pueda ejecutarse al inicio del sistema, y de paso ocultar el icono de la aplicación, no vaya a ser que la víctima se acabe por dar cuenta.

A partir de entonces, ese terminal estará siendo monitorizado 24/7. Incluso podría formar parte de una botnet (la herramienta permite controlar varios terminales a la vez) al escrutinio permanente de nuestros intereses.

¿Qué permite hace XNSPY?

Prácticamente todo lo que el espía de turno querría conocer de la víctima.

La herramienta cuenta con un dasboard correctamente diseñado y muy sencillo de usar, en varios idiomas (aunque las traducciones no van muy allá), responsivo y hasta con aplicaciones para Android e iOS, con un menú lateral con las siguientes opciones:

XNSPY opciones

  • Registro de llamadas y SMS: Con quién y cuánto tiempo ha hablado, o qué mensajes se han enviado. En opciones podríamos activar alertas para que nos avisara cuándo un teléfono específico se pone en contacto con el “sujeto”, y todo ello es exportable a CSV, para su tratamiento masificado posterior.
  • Acceso al calendario, al historial de navegación y los contactos: Es de lo primero que se descarga una vez se ha hecho el paring. Todo lo que la víctima tiene en el dispositivo se vuelca en la nube de XNSPY.
  • Emails y mensajería instantánea: Un must para el espía amateur. Los logs de WhatsApp, Line, Facebook, Skype, Viber, Kik (¿?), así como los emails recibidos, son cómodamente navegables desde la interfaz de la herramienta.
  • Localización: Otro aspecto necesario, que cuenta con su propia sección, y con un historial de viajes pasados.
  • Contenido audiovisual: Tanto el que la propia víctima tenga/realice, como el que nosotros forzemos a realizar. Tendremos acceso a cualquier foto, vídeo o audio que el sujeto tenga en la galería (aunque luego lo haya borrado), y podremos activar el micrófono o la cámara en cualquier momento para ver qué ocurre. Además, por defecto el sistema guarda las conversaciones que se realicen en las llamadas, descargándolas al sistema instantes después.
  • Control remoto: Podremos en esta sección realizar algunas acciones push en el sistema, como la grabación anteriormente comentada, e incluso el bloqueo o wipe del terminal.

Entre nosotros y el control absoluto solo hay un obstáculo. Los permisos ROOT. Si el terminal no está rooteado/jailbreakeado, el sistema no podrá exprimir al máximo la monitorización.

Dependeremos por tanto de la activación del GPS por parte del usuario para localizarlo, y solo tendremos acceso a los emails si este utiliza la aplicación de correo por defecto. Tampoco tendremos acceso a los registros del WhatsApp (¡Cáspita!). Todo lo demás estará disponible (si no se me ha pasado nada).

Una herramienta de OSINT que pone los pelos de punta

XNSPY movil

Es cuando, después de una semana instalada en mi propio terminal, te das cuenta del enorme potencial que tiene para realizar espionajes específicos. Para campañas de spear phishing, y no únicamente con los objetivos para los que a priori ha sido diseñada.

Incluso en terminales NO ROOT, el volcado de SMS de la víctima me permite por ejemplo obtener acceso a todos esos servicios digitales protegidos con doble factor de autenticación.

En mi caso, incluso conocer los movimientos bancarios (tengo una alerta vía SMS con cada compra/recibo que me llega a la cuenta), o los planes de viajes, bien sea por el calendario, o por el SMS que habitualmente nos envían con el número de localización (tren y autobús, principalmente).

Sobra decir que el que automáticamente se guarden todas las conversaciones que haga la víctima es terriblemente valioso en una campaña de este tipo. Podríamos hacernos pasar por un tercero, y retomar una conversación que sin duda solo deberían saber estas dos personas para dirigirle a un fraude específico. U obtener información que únicamente la víctima daría a un contacto que entiende como conocido.

XNSPY Record Calls

La herramienta también ofrece gráficas de uso, que están ineludiblemente asociadas a su rutina diaria. Pudiendo localizarle en cualquier momento, y en qué WIFIs se está conectando, podemos saber dónde vive, dónde trabaja o qué lugares frecuenta habitualmente.

El hecho de que toda la información sea exportable a un CSV nos permitirá explotarla más cómodamente, y realizar inteligencia pseudo-automática sobre los datos obtenidos, que quizás nos arroje más información crítica: relaciones de tercer grado, acceso a posibles futuros objetivos,…

Y todo esto por apenas 8-13 dólares al mes (según la versión contratada).

La democratización del espionaje accesible por el grueso de la sociedad. Sin conocimientos técnicos previos, sin necesidad de contratar a un equipo de hackers profesionales, sin desembolsos económicos exagerados.

Piense la próxima vez a quién ha dejado su terminal. Valore si de verdad necesita tener ROOT o JailBreak para el uso que le da a ese dispositivo que le acompaña día tras día. Porque a algo así estamos expuestos absolutamente todos.

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias