Una vulnerabilidad crítica de inyección SQL ha comprometido la seguridad de más de 62,000 usuarios de Catwatchful, una aplicación de Android que se presenta como herramienta de control parental pero funciona como software espía completo. El investigador de seguridad Erik Daigle descubrió esta brecha que expuso credenciales de acceso sin cifrar y datos personales sensibles de miles de víctimas.
Características del Software Espía Catwatchful
Catwatchful pertenece a la categoría de stalkerware, un tipo de malware que se disfraza como aplicación legítima de monitoreo parental. Esta aplicación otorga a los atacantes capacidades extensivas de vigilancia en tiempo real sobre dispositivos comprometidos.
Las funcionalidades principales incluyen acceso completo al contenido del dispositivo objetivo, activación remota del micrófono para escucha encubierta, control de cámaras del smartphone, extracción de fotografías y videos, monitoreo de conversaciones en aplicaciones de mensajería, y rastreo continuo de ubicación GPS.
Los desarrolladores promocionaban explícitamente las capacidades de ocultación del software: «El software de monitoreo móvil permite vigilar el teléfono objetivo sin conocimiento del usuario. La aplicación permanece invisible e indetectable».
Proceso de Infección y Funcionamiento Técnico
La instalación de Catwatchful requiere acceso físico al dispositivo objetivo. Los atacantes reciben un archivo APK preconfigurado con credenciales únicas tras registrarse en el sistema. Una vez instalado, el malware opera silenciosamente en segundo plano, transmitiendo información recopilada a una base de datos Firebase.
Los atacantes acceden a los datos robados mediante un panel de control web que centraliza toda la información extraída de los dispositivos comprometidos.
Análisis de la Vulnerabilidad de Seguridad
La investigación reveló una falla crítica de inyección SQL en la arquitectura de Catwatchful. El problema fundamental residía en la ausencia de autenticación para la API de la aplicación, permitiendo que cualquier usuario interactuara directamente con la base de datos.
La explotación de esta vulnerabilidad proporcionó acceso no autorizado a credenciales de login y contraseñas de los 62,050 usuarios registrados, información de vinculación entre cuentas y dispositivos específicos, datos extraídos de 26,000 dispositivos de víctimas, e información personal del desarrollador de la aplicación.
Impacto Geográfico y Temporal
El análisis de los datos comprometidos demostró que la mayoría de dispositivos afectados se concentraban en América Latina y Asia. México, Colombia, India, Perú, Argentina, Ecuador y Bolivia registraron el mayor número de víctimas.
Particularmente preocupante resulta el descubrimiento de que algunos dispositivos permanecieron infectados desde 2018, evidenciando un período prolongado de recopilación ilegal de datos personales.
Identificación del Responsable
La vulnerabilidad permitió identificar al creador del software espía: Omar Sok Charkov, residente en Uruguay. Sus datos de contacto, incluyendo número telefónico y dirección de correo electrónico, se encontraban almacenados en la base de datos comprometida.
Respuesta y Medidas de Mitigación
Tras la publicación de los hallazgos, Google implementó rápidamente protecciones adicionales en Play Protect para alertar a usuarios sobre la presencia de Catwatchful en sus dispositivos.
Aunque el proveedor de hosting bloqueó la cuenta infractora, los desarrolladores migraron rápidamente su API a otro proveedor, demostrando su intención de continuar las operaciones ilegales.
Método de Detección para Usuarios
Contrario a las afirmaciones de indetectabilidad, los usuarios de Android pueden verificar la presencia de Catwatchful marcando la combinación «543210» y presionando el botón de llamada.
Este backdoor integrado, diseñado para desinstalación del software espía, revelará forzosamente la presencia de Catwatchful en el sistema.
Este incidente subraya los riesgos significativos asociados con el stalkerware y la importancia de mantener sistemas de seguridad actualizados. La falta de protección adecuada en estas aplicaciones no solo viola los derechos de las víctimas, sino que también expone a los propios usuarios del software espía a graves riesgos de seguridad. La educación sobre métodos de detección de malware y la implementación de medidas de seguridad robustas continúan siendo elementos fundamentales para la protección contra estas amenazas emergentes.
