Aplicaciones de software espía para consumidores que monitorean de forma encubierta y continua sus mensajes privados, fotos, llamadas telefónicas y ubicación en tiempo real son un problema creciente para los usuarios de Android.

Esta guía puede ayudarle a identificar y eliminar aplicaciones de vigilancia comunes de su teléfono Android, incluidas TheTruthSpy, KidsGuard y otras aplicaciones.

Las aplicaciones de software espía para consumidores se venden con frecuencia bajo la apariencia de software de seguimiento infantil o familiar, pero se las conoce como “stalkerware” y “spouseware” por su capacidad para rastrear y monitorear también a parejas o cónyuges sin su consentimiento. Estas aplicaciones de software espía se descargan desde fuera de la tienda de aplicaciones de Google Play, se instalan en un teléfono sin el permiso de una persona y, a menudo, desaparecen de la pantalla de inicio para evitar ser detectadas.

Las aplicaciones de stalkerware se basan en el abuso de las funciones integradas de Android que suelen utilizar las empresas para administrar de forma remota los teléfonos del trabajo de sus empleados o utilizar el modo de accesibilidad de Android para espiar el dispositivo de alguien.

Es posible que notes que tu teléfono funciona de manera inusual, se calienta más o más lento de lo habitual o usa grandes cantidades de datos de red, incluso cuando no lo estás usando activamente.

Es posible comprobar de forma rápida y sencilla si su dispositivo Android está comprometido.

Antes de que empieces

Es importante contar con un plan de seguridad y apoyo confiable si lo necesita. Tenga en cuenta que eliminar el software espía de su teléfono probablemente alertará a la persona que lo instaló, lo que podría crear una situación insegura. La Coalición contra el Stalkerware ofrece asesoramiento y orientación a las víctimas y supervivientes del stalkerware.

Tenga en cuenta que esta guía sólo le ayuda a identificar y eliminar aplicaciones de software espía, no elimina los datos que ya se recopilaron y cargaron en sus servidores. Además, algunas versiones de Android pueden tener opciones de menú ligeramente diferentes. Como es habitual en cualquier consejo, usted sigue estos pasos bajo su propia responsabilidad.

Comprueba la configuración de Google Play Protect

Google Play Protect es una de las mejores medidas de protección contra aplicaciones maliciosas de Android al examinar las aplicaciones descargadas de la tienda de aplicaciones de Google y fuentes externas en busca de signos de actividad potencialmente maliciosa. Esas protecciones dejan de funcionar cuando se apaga Play Protect. Es importante asegurarse de que Play Protect esté activado para garantizar que esté funcionando y buscando aplicaciones maliciosas.

Puede verificar que Play Protect esté habilitado a través de la configuración de la aplicación Play Store. También puede buscar aplicaciones dañinas, si aún no se ha realizado un análisis.

Compruebe si los servicios de accesibilidad han sido manipulados

Stalkerware depende del acceso profundo a su dispositivo para acceder a los datos y se sabe que abusa del modo de accesibilidad de Android que, por diseño, requiere un acceso más amplio al sistema operativo y a sus datos para que funcionen los lectores de pantalla y otras funciones de accesibilidad.

Los usuarios de Android que no utilizan aplicaciones o funciones de accesibilidad no deberían ver ninguna aplicación en su configuración de Android.

Si no reconoce un servicio descargado en las opciones de Accesibilidad, es posible que desee desactivarlo en la configuración y eliminar la aplicación. Algunas aplicaciones de stalkerware están disfrazadas de aplicaciones de apariencia normal y, a menudo, se denominan “Accesibilidad”, “Estado del dispositivo”, “Servicio del sistema” u otros nombres que suenan inofensivos.

Comprueba tu acceso a notificaciones

Al igual que las funciones de accesibilidad, Android también permite que aplicaciones de terceros accedan y lean sus notificaciones entrantes, como permitir que los parlantes inteligentes lean alertas en voz alta o que su automóvil muestre notificaciones en su tablero. Otorgar acceso a notificaciones a una aplicación de stalkerware permite una vigilancia persistente de sus notificaciones, que incluye mensajes y otras alertas.

Puede verificar qué aplicaciones tienen acceso a sus notificaciones verificando la configuración de acceso a notificaciones de Android en Acceso a aplicaciones especiales. Quizás reconozcas algunas de estas aplicaciones, como Android Auto. Puede desactivar el acceso a notificaciones para cualquier aplicación que no reconozca.

Compruebe si se ha instalado una aplicación de administración del dispositivo

Otras características de las que suele abusar el stalkerware son las opciones de administración de dispositivos Android, que tienen un acceso similar pero incluso más amplio a los dispositivos Android y a los datos de los usuarios.

Las empresas suelen utilizar las opciones de administración de dispositivos para administrar de forma remota los teléfonos de sus empleados, como borrar el teléfono en caso de robo del dispositivo para evitar la pérdida de datos. Pero estas características también permiten que las aplicaciones de stalkerware espíen la pantalla de Android y los datos del dispositivo.

Puede encontrar la configuración de la aplicación de administración del dispositivo en Configuración en Seguridad.

La mayoría de las personas no tienen una aplicación de administración de dispositivos en su teléfono personal, así que tenga cuidado si ve una aplicación que no reconoce, con un nombre igualmente oscuro y vago como «Servicio del sistema», «Estado del dispositivo» o «Administrador del dispositivo». .”

Verifique las aplicaciones para desinstalar

Es posible que no veas un ícono en la pantalla de inicio para ninguna de estas aplicaciones de stalkerware, pero seguirán apareciendo en la lista de aplicaciones de tu dispositivo Android.

Puede ver todas las aplicaciones instaladas en la configuración de Android. Busque aplicaciones e íconos que no reconozca. Estas aplicaciones también pueden mostrar que tienen amplio acceso a su calendario, registros de llamadas, cámara, contactos y datos de ubicación.

Forzar la detención y desinstalación de una aplicación de stalkerware probablemente alertará a la persona que colocó el stalkerware de que la aplicación ya no funciona.

Asegure su dispositivo

Si se colocó stalkerware en su teléfono, es muy probable que su teléfono esté desbloqueado, desprotegido o que su bloqueo de pantalla haya sido adivinado o aprendido. Una contraseña de pantalla de bloqueo más segura puede ayudar a proteger su teléfono de intrusos. También debes proteger el correo electrónico y otras cuentas en línea mediante la autenticación de dos factores siempre que sea posible.

---

Si usted o alguien que conoce necesita ayuda, la Línea Directa Nacional contra la Violencia Doméstica (1-800-799-7233) brinda apoyo gratuito y confidencial las 24 horas, los 7 días de la semana a las víctimas de violencia y abuso doméstico. Si se encuentra en una situación de emergencia, llame al 911. La Coalición contra el Stalkerware tiene recursos si cree que su teléfono ha sido comprometido por software espía.

---

Lea más en TechCrunch:

Un software espía de consumo La operación llamada TheTruthSpy plantea un riesgo continuo de seguridad y privacidad para miles de personas cuyos dispositivos Android se ven comprometidos sin saberlo con sus aplicaciones de vigilancia móvil, sobre todo debido a una simple falla de seguridad que sus operadores nunca solucionaron.

Ahora, dos grupos de hackers han encontrado de forma independiente la falla que permite el acceso masivo a los datos de los dispositivos móviles robados de las víctimas directamente desde los servidores de TheTruthSpy.

La hacker maia arson crimew, con sede en Suiza, dijo en una publicación de blog que los grupos de hackers SiegedSec y ByteMeCrew identificaron y explotaron la falla en diciembre de 2023. Crimew, a quien ByteMeCrew le proporcionó un caché de los datos de las víctimas de TheTruthSpy, también describió haber encontrado varias vulnerabilidades de seguridad nuevas en La pila de software de TheTruthSpy.

En una publicación en Telegram, SiegedSec y ByteMeCrew dijeron que no divulgarán públicamente los datos violados, dada su naturaleza altamente sensible.

Crimew proporcionó a TechCrunch algunos de los datos de TheTruthSpy violados para su verificación y análisis, que incluían los números IMEI únicos del dispositivo e ID de publicidad de decenas de miles de teléfonos Android recientemente comprometidos por TheTruthSpy.

TechCrunch verificó que los nuevos datos sean auténticos al comparar algunos de los números IMEI e ID de publicidad con una lista de dispositivos anteriores que se sabe que están comprometidos por TheTruthSpy, como se descubrió durante una investigación anterior de TechCrunch.

El último lote de datos incluye los identificadores de dispositivos Android de todos los teléfonos y tabletas comprometidos por TheTruthSpy hasta diciembre de 2023 inclusive. Los datos muestran que TheTruthSpy continúa espiando activamente a grandes grupos de víctimas en Europa, India, Indonesia, Estados Unidos, Reino Unido y otros lugares.

TechCrunch ha agregado los identificadores únicos más recientes (alrededor de 50,000 nuevos dispositivos Android) a nuestra herramienta gratuita de búsqueda de software espía que le permite verificar si su dispositivo Android fue comprometido por TheTruthSpy.

Un error de seguridad en TheTruthSpy expuso los datos del dispositivo de las víctimas

Durante un tiempo, TheTruthSpy fue una de las aplicaciones más prolíficas para facilitar la vigilancia secreta de dispositivos móviles.

TheTruthSpy forma parte de una flota de aplicaciones de software espía para Android casi idénticas, incluidas Copy9 e iSpyoo y otras, que alguien, normalmente con conocimiento de su contraseña, coloca sigilosamente en el dispositivo de una persona. Estas aplicaciones se denominan “stalkerware” o “spouseware” por su capacidad para rastrear y monitorear ilegalmente a personas, a menudo cónyuges, sin su conocimiento.

Las aplicaciones como TheTruthSpy están diseñadas para permanecer ocultas en las pantallas de inicio, lo que hace que estas aplicaciones sean difíciles de identificar y eliminar, mientras cargan continuamente el contenido del teléfono de la víctima en un panel visible para el abusador.

Pero mientras TheTruthSpy promocionaba sus poderosas capacidades de vigilancia, la operación de software espía prestó poca atención a la seguridad de los datos que estaba robando.

Como parte de una investigación sobre aplicaciones de software espía para consumidores en febrero de 2022, TechCrunch descubrió que TheTruthSpy y sus aplicaciones clonadas comparten una vulnerabilidad común que expone los datos del teléfono de la víctima almacenados en los servidores de TheTruthSpy. El error es particularmente dañino porque es extremadamente fácil de explotar y otorga acceso remoto ilimitado a todos los datos recopilados desde el dispositivo Android de la víctima, incluidos sus mensajes de texto, fotos, grabaciones de llamadas y datos precisos de ubicación en tiempo real.

Pero los operadores detrás de TheTruthSpy nunca solucionaron el error, dejando a sus víctimas expuestas a que sus datos se vean aún más comprometidos. Posteriormente solo se reveló información limitada sobre el error, conocido como CVE-2022-0732, y TechCrunch continúa ocultando detalles del error debido al riesgo continuo que representa para las víctimas.

Dada la simplicidad del error, su explotación pública era sólo cuestión de tiempo.

TheTruthSpy vinculado a la startup con sede en Vietnam, 1Byte

Este es el último de una serie de incidentes de seguridad que involucran a TheTruthSpy y, por extensión, a los cientos de miles de personas cuyos dispositivos se vieron comprometidos y les robaron sus datos.

En junio de 2022, una fuente proporcionó a TechCrunch datos filtrados que contenían registros de todos los dispositivos Android alguna vez comprometidos por TheTruthSpy. Sin forma de alertar a las víctimas (y sin alertar potencialmente a sus abusadores), TechCrunch creó una herramienta de búsqueda de software espía para permitir que cualquiera pueda comprobar por sí mismo si sus dispositivos estaban comprometidos.

La herramienta de búsqueda busca coincidencias con una lista de números IMEI e ID de publicidad que se sabe que han sido comprometidos por TheTruthSpy y sus aplicaciones clonadas. TechCrunch también tiene una guía sobre cómo eliminar el software espía TheTruthSpy, si es seguro hacerlo.

Pero las malas prácticas de seguridad de TheTruthSpy y los servidores con fugas también ayudaron a exponer las identidades reales de los desarrolladores detrás de la operación, quienes habían hecho esfuerzos considerables para ocultar sus identidades.

TechCrunch descubrió más tarde que una startup con sede en Vietnam llamada 1Byte está detrás de TheTruthSpy. Nuestra investigación encontró que 1Byte ganó millones de dólares a lo largo de los años en ganancias de su operación de software espía al canalizar los pagos de los clientes hacia cuentas de Stripe y PayPal configuradas con identidades estadounidenses falsas utilizando pasaportes estadounidenses, números de seguridad social y otros documentos falsificados.

Nuestra investigación encontró que las identidades falsas estaban vinculadas a cuentas bancarias en Vietnam administradas por empleados de 1Byte y su director, Van Thieu. En su apogeo, TheTruthSpy ganó más de 2 millones de dólares en pagos de clientes.

PayPal y Stripe suspendieron las cuentas del fabricante de software espía tras investigaciones recientes de TechCrunch, al igual que las empresas de alojamiento web con sede en EE. UU. que 1Byte utilizó para alojar la infraestructura de la operación de software espía y almacenar los vastos bancos de datos telefónicos robados de las víctimas.

Después de que los servidores web de EE. UU. arrancaron TheTruthSpy desde sus redes, la operación de software espía ahora está alojada en servidores en Moldavia por un servidor web llamado AlexHost, dirigido por Alexandru Scutru, que afirma tener una política de ignorar las solicitudes de eliminación de derechos de autor de EE. UU.

Aunque obstaculizado y degradado, TheTruthSpy todavía facilita activamente la vigilancia de miles de personas, incluidos estadounidenses.

Mientras permanezca en línea y operativo, TheTruthSpy amenazará la seguridad y privacidad de sus víctimas, pasadas y presentes. No sólo por la capacidad del software espía para invadir la vida digital de una persona, sino porque TheTruthSpy no puede evitar que los datos que roba se filtren en Internet.

Lea más en TechCrunch:

Los creadores de dos Los servicios de vigilancia telefónica parecen haber cerrado después de que el propietario accediera a resolver las acusaciones estatales de promover ilegalmente el software espía que desarrollaban sus empresas.

PhoneSpector y Highster eran aplicaciones de monitoreo telefónico para consumidores que facilitaban la vigilancia encubierta del teléfono inteligente de una persona. Comúnmente denominadas stalkerware (o cónyugeware), estas aplicaciones generalmente se instalan en el teléfono de una persona, a menudo por un cónyuge o pareja de hecho y generalmente con conocimiento del código de acceso del dispositivo. Estas aplicaciones están diseñadas para permanecer ocultas en las pantallas de inicio, lo que las hace difíciles de encontrar y eliminar, mientras cargan continuamente los mensajes, fotos y datos de ubicación en tiempo real del teléfono en un panel visible para el abusador.

En febrero de 2023, Patrick Hinchy, cuyo consorcio de empresas de tecnología con sede en Nueva York y Florida desarrolló PhoneSpector y Highster, acordó pagar 410.000 dólares en multas para resolver las acusaciones de que las empresas de Hinchy anunciaban y “promovían agresivamente” software espía que permitía la vigilancia telefónica secreta de personas. viviendo en el estado de Nueva York.

La fiscal general de Nueva York, Letitia James, dijo en ese momento que las empresas de Hinchy utilizaban publicaciones de blogs que animaban explícitamente a los clientes potenciales a utilizar el software espía para controlar los dispositivos de sus cónyuges sin su conocimiento. Como parte del acuerdo, las empresas de Hinchy acordaron modificar las aplicaciones para alertar a los propietarios de dispositivos que sus teléfonos habían sido monitoreados.

Desde el acuerdo, tanto PhoneSpector como Highster se desconectaron.

El sitio web de PhoneSpector dejó de cargarse en las semanas posteriores al acuerdo. Su dominio ahora redirige a un sitio web de lotería de Indonesia. El sitio web de Highster dejó de cargarse varios meses después.

Los dominios, servidores e infraestructura de back-end que se sabe que utilizan PhoneSpector y Highster tampoco están en línea.

TechCrunch llamó a los números de teléfono asociados con el servicio de atención al cliente de PhoneSpector y Highster, pero un mensaje automático decía que los números habían sido desconectados. El espacio de oficinas en el pueblo neoyorquino de Port Jefferson registrado a nombre de las empresas de Hinchy está actualmente ocupado por una empresa de construcción.

Casi todas las empresas registradas de Hinchy en Nueva York y Florida permanecen activas, según búsquedas en registros públicos realizadas por TechCrunch, pero las empresas no han presentado documentación ante los estados durante varios años y están designadas como «vencidas» para recibir actualizaciones. Por lo general, las empresas deben presentar documentos cada dos años o enfrentar la disolución por parte de las autoridades estatales.

Hinchy no respondió a múltiples solicitudes de comentarios de TechCrunch. Michael Weinstein, quien representó a Hinchy como parte del acuerdo, remitió sus comentarios a la oficina del fiscal general de Nueva York.

Delaney Kempner, directora de comunicaciones de la oficina del fiscal general de Nueva York, no respondió a las preguntas de TechCrunch sobre el acuerdo por correo electrónico, ni siquiera si las empresas de Hinchy pagaron la multa de 410.000 dólares según lo acordado. Kempner no estuvo de acuerdo con la solicitud de TechCrunch de una llamada oficial. En respuesta a preguntas específicas sobre el caso, Kempner le dijo a TechCrunch por correo electrónico que presentaciones recientes no especificadas responderían algunas de nuestras preguntas. “Ojalá sepas cómo encontrarlos :)”, dijo Kempner.

PhoneSpector y Highster son las últimas aplicaciones de stalkerware que han dejado de funcionar en los últimos años tras una acción regulatoria.

En 2019, la Comisión Federal de Comercio presentó cargos contra el fabricante de aplicaciones de monitoreo telefónico Retina-X, acusando a la compañía de no garantizar que su aplicación se usara con fines consensuales legítimos y de no proteger adecuadamente los datos telefónicos confidenciales que extrajo de teléfonos sin saberlo. propietarios de dispositivos después de experimentar varias violaciones de datos. Retina-X finalmente se cerró.

Un año después, la FTC expulsó al fabricante de stalkerware SpyFone y a su director ejecutivo Scott Zuckerman de la industria de la vigilancia, acusando también a la empresa de no proteger los datos que recopilaba en secreto de los teléfonos de víctimas involuntarias. Una investigación de TechCrunch descubrió más tarde que Zuckerman regresó con una nueva aplicación de stalkerware llamada SpyTrac, que se cerró poco después de que TechCrunch se comunicara con Zuckerman para hacer comentarios.

La amenaza del stalkerware se ha multiplicado por más de tres en los últimos tres años, según afirman nuevas cifras de Avast.

El departamento de investigadores de amenazas de la compañía, parte de la Coalición contra el Stalkerware, reveló que, según su telemetría, la posibilidad de encontrar esta forma de malware móvil aumentó un 329 % desde 2020.

El estado de Nueva York obligó a un notorio desarrollador de spyware y stalkerware a pagar una multa importante y notificar a todas las víctimas que sus teléfonos inteligentes estaban siendo monitoreados sin su consentimiento.

en un Hilo de Twitter (se abre en una pestaña nueva)La oficina de la fiscal general de Nueva York, Letitia James, dijo que el vendedor de spyware Patrick Hinchy tiene que pagar una multa de $410,000 por construir las herramientas y usar 16 compañías para promocionarlas ilegalmente. También se dijo que Hinchy había estado promocionando las herramientas a través de anuncios que afirmaban que el espionaje era legal.

Una de las aplicaciones de stalkerware más utilizadas supuestamente está «plagada» de fallas de seguridad y corre el riesgo de exponer los datos de sus víctimas a terceros, advirtieron los expertos.

Xnspy permite a los usuarios monitorear las actividades de su cónyuge, pareja o hijo después de instalarlo de forma encubierta en el dispositivo de su víctima, luego se ejecuta en segundo plano en secreto mientras envía datos al instalador.