Español | English
rss facebook linkedin Twitter

Interceptando a Skype

Ultimamente se está propagando la noticia del troyano que graba el audio de las conversaciones VoIP a través de Skype, tiene la posibilidad de envío de información a un dropzone. Para ponernos al día, será bueno tocar un poco de historia.


Ruben Unteregger (RU) de 33 años, desarrollador suizo, ha publicado el código fuente de un troyano capaz de interceptar las llamadas a través de Skype, graba todo el audio y es capaz de enviarlo en formato mp3 a cualquier destino. Este último desarrollo se puede enlazar con el escándalo ocurrido en el 2006 y publicado por la prensa suiza “Sonntagszeitung” en el que se utilizaba un sistema similar para establecer este tipo de escuchas por la policía alemana. El departamento de desarrollo, transporte y comunicaciones, relacionó a ERA IT con su desarrollo, cosa que ya comentaba nuestro compañero Clemens Kurtenbach en sus dos posts sobre el Federal Trojan Horse que se pueden consultar desde aquí. 1 - 2


En una entrevista publicada en Gulli.com, RU admite haber estado trabajando desde el 2001 al 2008 en ERA IT y que estuvo trabajando en proyectos privados. Su trabajo era generar código malicioso que pudiesen invadir los equipos de los usuarios privados. ERA IT Solutions estaba involucrada de forma particular en el desarrollo y construcción de troyanos que permitiesen establecer escuchas en las llamadas VoIP. Si él no quería pagar la penalización, debería mantener en secreto los clientes de la compañía. De forma paralela a la realización de la entrevista, RU hizo publico el código fuente del troyano.


Riccardo Gubser, representante de ERA IT intentó aclarar que el conocimiento para el desarrollo de ese malware, fue introducido en la empresa por RU y desapareció cuando este abandonó la empresa.


De ahora en adelante, el troyano-spyware de escucha y grabación, conocido como Trojan.Peskyspy o TROJ_SPAYKE.C pasará a ser conocido de forma familiar como: bicho, para abreviar un poco.


En principio, aunque pueda parecer que el sistema funciona para todos los sistemas con Skype, según Symantec, sólo afecta a sistemas Microsoft, ya que supuestamente hace uso de alguna llamada al API de Windows.


Mucha gente piensa que la grabación de sus conversaciones genera una gran cantidad de espacio ocupado en el sistema y que se podrían dar cuenta del proceso, pero no es del todo correcto. Actualmente los equipos informáticos disponen de grandes sistemas de almacenamiento, incluso los equipos con discos de estado sólido, disponen de espacio suficiente para grabar las conversaciones de un usuario convencional. Y aparte de eso, la gran mayoría de las personas, no suelen llevar un control exhaustivo del espacio ocupado de disco.


Para hacernos una idea, en una calidad normal, una canción en MP3 de 1 minuto de duración, puede ocupar aproximadamente 1 MB, sin embargo, para la grabación de la voz humana, no es necesario un muestreo de superior a 32 kbs, ya que los limites de las frecuencias fundamentales de la voz humana se sitúan en los 80 Hz y los 1056 Hz, pudiendo incluso llegar a los 15Khz y su ancho de banda ronda los 3,4 Khz, con lo que si se optimizan los procesos de grabación a los valores necesarios, por ejemplo, estableciendo un máximo de 6Khz , podríamos grabar algo más de 6 minutos de audio en 1 MB.


Se ha publicado el código del bicho, el de la DLL de inyección y el del plugin, junto con unas imágenes que explican el proceso de captura y la utilización del mismos. A continuación vemos el funcionamiento en una de esas imágenes.




Es necesaria la introducción del bicho en el equipo víctima, ya que las comunicaciones de Skype están cifradas, pero el proceso de cifrado/descifrado se realiza en local, donde si pueden interceptarse y grabarse.


El proceso es completamente silencioso y transparente al usuario. El bicho es capaz de evitar los cortafuegos y los antivirus del equipo víctima. Para los cortafuegos, el bicho busca una serie de procesos: mpfagent.exe, mpfservice.exe, Mcdetect.exe, McShield.exe, outpost.exe, zlclient.exe, bdagent.exe, bdmcon.exe, fsdfwd.exe, kadmin.exe, avgfwsrv.exe, webroot.exe y los evita. Los antivirus, actualmente no disponen de una firma específica para el bicho y dado que no muta, ni busca expandirse, o infectar archivos, es decir, no muestra una conducta propiamente vírica, los análisis heurísticos no son efectivos.


Siempre que la victima inicia una conversación a través del Skype, el bicho ejecuta una inyección de DLL que le permite solaparse a los procesos de Skype y grabar todas las conversaciones. Estas conversaciones, se convierten de audio PCM a MP3, se cifran y se envían a una ubicación en la red definida por el atacante.


El bicho no depende directamente de Skype, con lo que puede migrarse a cualquier otro sistema de VoIP. La captura de audio se hace a nivel de sistema operativo, no a nivel de red.


Debido a la carencia de sistema de propagación, como se ha comentado anteriormente, la instalación depende de la habilidad del atacante para el despliegue, ya sea a través de ingeniería social, con acceso físico a la máquina o a través de otro malware.


Con respecto al almacenamiento de las grabaciones, se realizan grabaciones distintas para las cadenas de audio de entrada y de salida, manteniendo el siguiente formato:

[Carpeta Predeterminada]\[prefijo]-[número]- SkypeOut-[ año – mes – día – hora – minuto - segundo].mp3
[Carpeta Predeterminada]\[prefijo]-[número]- SkypeIn-[ año – mes – día – hora – minuto - segundo].mp3

A partir de aquí empiezan las divagaciones, la gente opina y habla, con más o menos tino y conocimiento, de que los gobiernos no pueden hacerlo o permitirlo, que es una tontería analizar GB de conversaciones de millones de usuarios, que no vale la pena, que no tiene utilidad, pero claro, con esto pasa lo mismo de siempre, las posibilidades son directamente proporcionales al ingenio de la persona que lo usa. Al final parece una parte de más de Echelon. Ahora está en manos de las empresas de antivirus, el ponerse las pilas con este tipo de aplicaciones.



Algunas fuentes:

http://news.softpedia.com
http://blog.s21sec.com
http://slashdot.org
http://www.megapanzer.com
http://www.diarioti.com
http://www.scmagazineus.com
http://www.symantec.com

___
Actualmente, los productos de Symantec, Sophos y AhnLab son capaces de detectarlo.

Juan Manuel Sanesteban
S21sec labs


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login