¿Quién está en línea?
En total hay 19 usuarios en línea: 0 Registrados, 0 Ocultos y 19 Invitados

Ninguno

La mayor cantidad de usuarios en línea fue 362 el Vie 03 Abr 2015, 00:47.

Apps mágicas para hackear Facebook

Ver el tema anterior Ver el tema siguiente Ir abajo

Apps mágicas para hackear Facebook

Mensaje por Kommdevil el Mar 09 Jun 2015, 00:48



Conseguir la contraseña de Facebook de una cuenta es una de las peticiones más usuales que se suele recibir de la gente que busca solucionar sus problemas invadiendo la intimidad de las personas cercanas. Hay una gran demanda para este tipo de servicios, y por ende aparece la oferta de este tipo de servicios por medio de muchas maneras, casi todas con el fin de engañar al que busca hackear Facebook. Desde engaños al uso de "págame y ya me pongo yo a conseguirte la contraseña que yo hago unos troyanos superfuertes", hasta las típicas falsas apps mágicas que se comercializan para espiar WhatsApp en las que supuestamente pones un número de teléfono y al instante te da las conversaciones que de la otra persona. 

Estas apps mágicas para espiar son algo muy utilizado en el mundo del fraude online, y en casos como las apps mágicas para WhatsApp han generado auténticos negocios como hemos visto en el pasado. Hoy yo venía a hablaros de una de esas apps mágicas para hackear. En concreto de una App mágica para Hackear Facebook que me encontré ayer jugando con nuestra plataforma Path 5.



La encontré mientras buscaba apps hablaran de SQL Injection y me llamó poderosamente la atención.  "¿Una app para hackear Facebook que está relacionada con SQL Injection? Esto hay que verlo". Tal y como se puede ver en la imagen de arriba, el crespón negro indica que la app fue retirada de Google Play hace varios meses, pero lo bueno de Path 5 es que nos hace el archivado automático de todas las apps y todas las versiones, así que podría jugar con ella. 



El asunto del SQL Injection aparecía en la descripción, donde los autores presumen de que son unos tipos son unos mega hax0RDs con capacidades superiores a las que tienen los ingenieros de seguridad de Facebook y todos los investigadores que participan en el Bug Bounty y son capacidades de sacar las passwords usando Fuerza Bruta y bugs de SQL Injection que solo ellos tienen. Tiene gracia, pero ya que vas a meter una trola a alguien, que sea a lo grande, ¿no?. De hecho no será la primera vez que alguna gran empresa como Apple se come ataques de Brute Force en sus servidores o bugs de SQL Injection en sitios de renombre.

Aún así, publicar un par de 0days de Facebook en una app en Google Play no parece lo más inteligente para un hax0RD del nivel de estos autores, así que la trola canta muchísimo, así que decidí descargarla y darle un vistazo. Primero una descompresión del APK, luego una extracción del código con dex2jar para sacar los ficheros .class y luego usando JAD y Show My Code a leer un poco el código de la app y para ver la magia.

Al extraer el código se podía ver que la parte del ataque SQL Injection la tenían en una rama completamente a parte, así que me fui a ver qué hacían por allí. La función que más me gustó fue esta de DoSomeTasks para tener entretenido al usuario de la app.



Esta función se llamaba de vez en cuando con algunos retardos de tiempo para que se viera lo duro y cansado que era el trabajo de esta pobre app tratando de sacar la contraseña de la víctima.



Eso sí, la contraseña la saca, y la saca con emoción. Al estilo que buscan los periodistas cuando graban un reportaje para la tele. Visualizando la tensión poco a poco por pantalla. Primero intentando conectar una vez con mucha dificultad.



Lugo intentándolo otra vez, para al final conseguirlo y poder sacar por pantalla la password de la víctima que esta app mágica va a sacar para el atacante.




Cuando sale la contraseña, se la saca de una variable que se llama Str. What? Str? ¿De dónde ha salido ese Str con una password? Había que encontrar ese Str, así que a buscar la variable por todo el programa. Y ahí está, es mágico.



Como se puede ver, lo único que hace es tirar un dado y sacar una contraseña Random para mostrársela al usuario y listo. ¡Eso sí es magia! Alguno podrá pensar que esto es una locura, pero... ¿no hacen esto los magos todos los días en los programas de consultorio de magia en la tele y son legales y pagan sus impuestos? Eso sí, por pantalla tiran comandos SQL para que se vea el SQL Injection.



Lo cierto es que el ataque de Brute Force era similar, así que fui a capón en busca de la variable Str para ver cómo lo hacía en la otra rama del ataque, para ver que era exactamente el mismo juego de magia e imaginación.



¿Y todo por qué? Pues para monetizar el uso de la app con publicidad de Mobile Core, que no olvidéis que en la descripción de esta app se puede ver que tenía ya más de 10.000 descargas de usuarios que buscaban robar passwords de otros.



Por supuesto, el truco este de la app mágica para hackear Faceook existe también en versión escritorio, e incluso hay un vídeo demostrativo de FaceHacker 2014 que demuestra como se obtienen las passwords. Unos crack de los efectos especiales en vídeo. Todo esto, con lo fácil que es robar una cuenta de Facebook en 5 segundos de descuido o buscar los posts privados o borrados en el índice de Google.

Saludos Malignos!

Fuente: Un informático en el lado del mal...
avatar
Kommdevil
ForoSortealo.com:
ForoSortealo.com:

Mensajes : 2673
Shortis : 2902
Reputación : 82
Fecha de inscripción : 27/05/2015

Volver arriba Ir abajo

Re: Apps mágicas para hackear Facebook

Mensaje por brutus5555 el Mar 09 Jun 2015, 01:02

es solo para WINDOWS, ó para IOS tambien ?
avatar
brutus5555
ForoSortealo:
ForoSortealo:

Mensajes : 593
Shortis : 887
Reputación : 79
Fecha de inscripción : 26/05/2015
Localización : bulkan ( aqui al laó )

Volver arriba Ir abajo

Re: Apps mágicas para hackear Facebook

Mensaje por Kommdevil el Mar 09 Jun 2015, 01:10

@brutus5555 escribió:es solo para WINDOWS, ó para IOS tambien ?
Solo Windows... pero también existen para IOS...

Salu2.
avatar
Kommdevil
ForoSortealo.com:
ForoSortealo.com:

Mensajes : 2673
Shortis : 2902
Reputación : 82
Fecha de inscripción : 27/05/2015

Volver arriba Ir abajo

Re: Apps mágicas para hackear Facebook

Mensaje por Zerstören el Mar 09 Jun 2015, 02:20

eso es de chema no?
avatar
Zerstören
Recién llegado.
Recién llegado.

Mensajes : 16
Shortis : 19
Reputación : 1
Fecha de inscripción : 12/03/2015

Volver arriba Ir abajo

Re: Apps mágicas para hackear Facebook

Mensaje por Kommdevil el Mar 09 Jun 2015, 02:38

@Zerstören escribió:eso es de chema no?
Exacto.. he puesto la fuente en la parte de abajo..  mola mola
avatar
Kommdevil
ForoSortealo.com:
ForoSortealo.com:

Mensajes : 2673
Shortis : 2902
Reputación : 82
Fecha de inscripción : 27/05/2015

Volver arriba Ir abajo

Re: Apps mágicas para hackear Facebook

Mensaje por ALFA-_-Q4 el Mar 09 Jun 2015, 02:51

Muy interesante @Kommdevil, muchas gracias!
avatar
ALFA-_-Q4
Admin

Mensajes : 1450
Shortis : 3848
Reputación : 64
Fecha de inscripción : 08/03/2015

http://www.forosortealo.com

Volver arriba Ir abajo

Re: Apps mágicas para hackear Facebook

Mensaje por pitxuastur el Vie 19 Jun 2015, 22:19

Pero entonces funciona, o no??
avatar
pitxuastur
ForoSortealo.com:
ForoSortealo.com:

Mensajes : 1034
Shortis : 1337
Reputación : 9
Fecha de inscripción : 27/05/2015
Edad : 38
Localización : Asturias

Volver arriba Ir abajo

Re: Apps mágicas para hackear Facebook

Mensaje por Contenido patrocinado


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.