lunes, enero 19, 2015

Apps mágicas para hackear Facebook

Conseguir la contraseña de Facebook de una cuenta es una de las peticiones más usuales que se suele recibir de la gente que busca solucionar sus problemas invadiendo la intimidad de las personas cercanas. Hay una gran demanda para este tipo de servicios, y por ende aparece la oferta de este tipo de servicios por medio de muchas maneras, casi todas con el fin de engañar al que busca hackear Facebook. Desde engaños al uso de "págame y ya me pongo yo a conseguirte la contraseña que yo hago unos troyanos superfuertes", hasta las típicas falsas apps mágicas que se comercializan para espiar WhatsApp en las que supuestamente pones un número de teléfono y al instante te da las conversaciones que de la otra persona. 

Figura 1: Apps mágicas para hackear Facebook

Estas apps mágicas para espiar son algo muy utilizado en el mundo del fraude online, y en casos como las apps mágicas para WhatsApp han generado auténticos negocios como hemos visto en el pasado. Hoy yo venía a hablaros de una de esas apps mágicas para hackear. En concreto de una App mágica para Hackear Facebook que me encontré ayer jugando con nuestra plataforma Path 5.

Figura 2: FaceHack, una app para robar passwords de Facebook con 0days de SQL Injection y Brute Force

La encontré mientras buscaba apps hablaran de SQL Injection y me llamó poderosamente la atención.  "¿Una app para hackear Facebook que está relacionada con SQL Injection? Esto hay que verlo". Tal y como se puede ver en la imagen de arriba, el crespón negro indica que la app fue retirada de Google Play hace varios meses, pero lo bueno de Path 5 es que nos hace el archivado automático de todas las apps y todas las versiones, así que podría jugar con ella. 

Figura 3: Descripción, descargas e información de FaceHack en Google Play

El asunto del SQL Injection aparecía en la descripción, donde los autores presumen de que son unos tipos son unos mega hax0RDs con capacidades superiores a las que tienen los ingenieros de seguridad de Facebook y todos los investigadores que participan en el Bug Bounty y son capacidades de sacar las passwords usando Fuerza Bruta y bugs de SQL Injection que solo ellos tienen. Tiene gracia, pero ya que vas a meter una trola a alguien, que sea a lo grande, ¿no?. De hecho no será la primera vez que alguna gran empresa como Apple se come ataques de Brute Force en sus servidores o bugs de SQL Injection en sitios de renombre.

Aún así, publicar un par de 0days de Facebook en una app en Google Play no parece lo más inteligente para un hax0RD del nivel de estos autores, así que la trola canta muchísimo, así que decidí descargarla y darle un vistazo. Primero una descompresión del APK, luego una extracción del código con dex2jar para sacar los ficheros .class y luego usando JAD y Show My Code a leer un poco el código de la app y para ver la magia.

Al extraer el código se podía ver que la parte del ataque SQL Injection la tenían en una rama completamente a parte, así que me fui a ver qué hacían por allí. La función que más me gustó fue esta de DoSomeTasks para tener entretenido al usuario de la app.

Figura 4: Función para hacer cosas

Esta función se llamaba de vez en cuando con algunos retardos de tiempo para que se viera lo duro y cansado que era el trabajo de esta pobre app tratando de sacar la contraseña de la víctima.

Figura 5: Retardos de tiempo periódicos en la app

Eso sí, la contraseña la saca, y la saca con emoción. Al estilo que buscan los periodistas cuando graban un reportaje para la tele. Visualizando la tensión poco a poco por pantalla. Primero intentando conectar una vez con mucha dificultad.

Figura 6: Tensión, se está intentando conectar a...¿a qué?

Lugo intentándolo otra vez, para al final conseguirlo y poder sacar por pantalla la password de la víctima que esta app mágica va a sacar para el atacante.

Figura 7: Se conecta a la segunda... y ¿obtiene una password? ¿De dónde?

Cuando sale la contraseña, se la saca de una variable que se llama Str. What? Str? ¿De dónde ha salido ese Str con una password? Había que encontrar ese Str, así que a buscar la variable por todo el programa. Y ahí está, es mágico.

Figura 8: Sacando la password como los magos de la tele

Como se puede ver, lo único que hace es tirar un dado y sacar una contraseña Random para mostrársela al usuario y listo. ¡Eso sí es magia! Alguno podrá pensar que esto es una locura, pero... ¿no hacen esto los magos todos los días en los programas de consultorio de magia en la tele y son legales y pagan sus impuestos? Eso sí, por pantalla tiran comandos SQL para que se vea el SQL Injection.

Figura 9: Ahí está el SQL Injection... ¡escéptico!

Lo cierto es que el ataque de Brute Force era similar, así que fui a capón en busca de la variable Str para ver cómo lo hacía en la otra rama del ataque, para ver que era exactamente el mismo juego de magia e imaginación.

Figura 10: El Str del Brute Force y las funciones de publicidad e Mobile Core

¿Y todo por qué? Pues para monetizar el uso de la app con publicidad de Mobile Core, que no olvidéis que en la descripción de esta app se puede ver que tenía ya más de 10.000 descargas de usuarios que buscaban robar passwords de otros.

Figura 11: El mismo truco en versión desktop para Windows

Por supuesto, el truco este de la app mágica para hackear Faceook existe también en versión escritorio, e incluso hay un vídeo demostrativo de FaceHacker 2014 que demuestra como se obtienen las passwords. Unos crack de los efectos especiales en vídeo. Todo esto, con lo fácil que es robar una cuenta de Facebook en 5 segundos de descuido o buscar los posts privados o borrados en el índice de Google. Vista la cantidad de gente que hay buscando cómo hackear Facebook, fortifica tu cuenta cuanto antes.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Actualización: Esto no solo existe en versión apps como las mostradas en este artículo o en el ejemplo de la Magic Prank App para Hackear Facebook, sino que también existen páginas web fraudulentas para hackear Facebook que también son falsas.

64 comentarios:

  1. Buen aporte Chema.

    Por desgracia hay infinidad de timos por la red.

    ResponderEliminar
  2. jajajajaja que crack el tío ese, nunca había visto semejante SQL injection/Brute Force tan bueno en mi vida jajajajajaja

    Chema, deberias crear una entrada al estilo de los metadatos para "código de aplicaciones que te timan" con eso nos podemos reir un rato (y ya que tienes Path5, mucho mejor!)

    ResponderEliminar
  3. Por desgracia, éste tipo de software mágico se lleva un montón de gente por delante...

    Como se podría decir... inseguridad e ignorancia van de la mano :(

    Gracias a blogs como éste los ignorantes vamos aprendiendo un poquito más todos los días ^^

    ResponderEliminar
  4. Chema me pasarías la app quisiera jakear algo xD Kappa :D desgraciadamente estas apps mágicas hay como para aventar al aire :/ y el numero de gente que cae en esas trampas es a un mayor :/

    ResponderEliminar
  5. Si nos ponemos a hablar de timos no paramos....hay mas fakes que aplicaciones dignas casi....La gente piensa más como joder que como ayudar.

    ResponderEliminar
  6. La verdad que este tipo de aplicaciones tienen éxito porque muchas son las personas que andan en busca de como "hackear" cuentas de Facebook y cuando alguien les dice que con una app lo pueden lograr se lanzan sin tan siquiera pensar que es una estafa.

    ResponderEliminar
  7. Yo he usado Comohackearfacebooya.blogspot.com

    ResponderEliminar
  8. Por una parte me alegro de que timen a esos 10.000 incautos que lo merecen por intentar espiar la intimidad, y por otra parte me jode que este tipo de sinvergüenzas sigan publicando estas App de engaño al personal sin que los haken a ellos que merecido lo tienen, esta claro que la red es un mundo de oportunismo no gana el que más conocimientos tiene sino el más espabilado. Esto me recuerda a un país ............

    ResponderEliminar
  9. A todo esto me hago la pregunta: ¿Realmente es posible el conseguir los datos tales como el password de algún perfil de Facebook? No me lo pregunto con la consignia de que alguien me rediriga a una app de las ya mencionadas. Sino, de que capacidad de conocimientos y habilidades delante de un ordenador deba tener alguien capaz de "sacar" los datos. Si alguien pudiera responder estaría agradecido.

    ResponderEliminar
  10. Qué grande Chema, lo vemos en Google Play a diario, a sabiendas que es un timo, pero nunca me dio por ver el código.. jejeje si a este tipo de búsquedas le sumas el de.. "Hackear la wifi de mi vecino" anda que no salen cientos de apps similares, todo por ganar unos eurillos!

    Muy guapa la entrada, difundida queda. Un saludo!

    ResponderEliminar
  11. Hahahaha, que gracioso, sobre todo en la parte del random y los intentos de obtener la contraseña.

    Desafortunadamente vivimos en un mundo con timadores, lastima que hay muchos timadores en una zona que no todos conocen.

    ResponderEliminar
  12. Eso les pasa por no estudiar y querer tenerlo todo fácil

    ResponderEliminar
  13. El conocimiento es libre pero sin hacer daño a nadie.

    ResponderEliminar
  14. http://dots.es/YdfH everywhere :v

    ResponderEliminar
  15. jajajaja les esta bien empleao

    ResponderEliminar
  16. que buen dato, siempre viene bien saber algo asi

    ResponderEliminar
  17. Hay una cantidad impresionante de timos por internet, el en submundo de los foros para hacer dinero hay un monton de scripts que venden para hackear cuentas de facebook y lo único que hacen es hackear tu propio ordenador, jajaj

    ResponderEliminar
  18. Es bueno que lo tomes a gracia, lastima que muchos lo sufren porque les creen, saludos.

    ResponderEliminar
  19. chema te doy un millon de dolares por hackear una cuenta de facebook, te vas a resistir?

    ResponderEliminar
  20. Podrian piblicar el ling de descarga de la aplicación para hackear y extraer contraseñas??? Por favor

    ResponderEliminar
  21. Esos códigos en C++ Son de lo mas básico, no saben un carajo, usen un lenguaje mas eficiente, y hacen un bucle que vaya probando las contraseñas, hasta que les aparece el captcha lo escriben ustedes y sigan así

    ResponderEliminar
  22. en esta pagina sirve para hackear y es gratis http://hackfbaccountlive.com/?ref=18014879

    ResponderEliminar
  23. Quien Mr ayuda para hakear un facebook por favor

    ResponderEliminar
  24. Quien Mr ayuda para hakear un facebook por favor

    ResponderEliminar
  25. Quien Mr ayuda para hakear un facebook por favor

    ResponderEliminar
  26. no esten hablando mas bobaas que al final nadie pone nada concreto

    ResponderEliminar
  27. todos los lick que ponen son pura basura, al final no existe aplicacion solo se modifica el codigo

    ResponderEliminar
  28. En realidad el código de esa app no genera las contraseñas verdaderas, si no que genera un nuúmero aleatorio cualquiera, en pocas palabras si es que existió la app es un fake(una app falsa).

    random = yo te genero un número cualquiera no te preocupes ;)

    srt = random;

    //Clave encriptada
    srt = isaubnfasy879qg3gr98gbdsvq8b3rf8g;

    //Clave desencriptada
    srt = jugos123

    Console.WriteLine(srt);

    //como se muestra en pantalla

    ----------------------------------------------------------------------------------------
    + +
    + ¡BIENVENIDO A FACEHACK! +
    + +
    + +
    + --------------------- +
    + Ingresa nombre de usuario o url de la victima: * Juguero che P'ter * +
    + --------------------- +
    + +
    + --------------------------------- +
    + Ingresa tu correo: * soy_the_best_hacker@gmail.com * +
    + --------------------------------- +
    + +
    + ------------------ +
    + * Iniciar ataque * +
    + ------------------ +
    + +
    + +
    + +
    + --------------------------------------------------------------------- +
    + Progreso: *+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++* +
    + --------------------------------------------------------------------- +
    + 100% completado +
    + +
    + --------------------------------------------------------------- +
    + Clave generada: * jugos123 +
    + --------------------------------------------------------------- +
    + +
    +--------------------------------------------------------------------------------------+

    ResponderEliminar
  29. Es lo mas chanta que he visto, por lo menos vamos aprendiendo de estos negocios fraudulentos.

    Saludos Chema

    ResponderEliminar
  30. Alguien sabe hackear app ?
    Megalodonte01gmail.com

    ResponderEliminar
  31. Quiero aprender a hackear facebook me ayudas alonso X fa :-)

    ResponderEliminar
  32. ayudenme quiero hakear pago buena lana

    ResponderEliminar
  33. Ya lo comenté en otro post, una verdadera pena que esto suceda. Creo que Google debería, de algún modo, de incluir filtros o la opción de denunciar o mandar a revisión las páginas scam que rankean en google.

    ResponderEliminar
  34. Buenisimo ! me gusto mucho como sacas a relucir estos temas de manera simple.

    ResponderEliminar
  35. Ami me hackearon mi facebook y no puedo restaurar la contraseña ya que cambiaron todo de mi facebook como puedo a ser le o alguien me puede ayudar

    ResponderEliminar
  36. Chema mis felicitaciones tu trabajo es de un genio y eres todo un ejemplo para muchos, he seguido tu trabajo sobre todo en youtube y articulos en otras web, no había mirado tu site y sencillamente esta perfecto. Felicidades por tu trabajo y tu esfuerzo, un saludo desde Costa Rica.

    ResponderEliminar
  37. Perdone si me bloquean el móvil por la administración de dispositivos android y me ponen contraseña y no se la contraseña que hago para eliminar eso por cierto no me deja resetearlo es un huawei p9 quien puede ayudarme?

    ResponderEliminar
  38. Hola. Me puedes ayudar a hackear una cuenta con migo

    ResponderEliminar
  39. Ayudamee! A hackear un fb por favor

    ResponderEliminar
  40. Es una pena que pase todo esto, yo tengo una web informativa y en este articulo hablo de las paginas falsas de como hackear facebook, lo puedes ver aqui si quieres, como se hackea facebook

    ResponderEliminar
  41. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  42. Es muy denigrante que la mayoría de los comentarios de esta publicación son de normalfags que ni se molestaron en leer, y solo piden ayuda o link para "hackear" facebook

    ResponderEliminar
  43. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  44. ahora con el cifrado extremo aunque se puede hackear poca información sacaremos pues el mensaje está cifrado lo podemos ver en wasap

    ResponderEliminar
    Respuestas
    1. Cómo es hackear chat del whassap?? Alguien me ayuda

      Eliminar
    2. Cómo es hackear chat del whassap?? Alguien me ayuda

      Eliminar
  45. Para Hackear WhatsApp lo mejor es descargar kingroot para rootear el móvil y luego descargar aplicaciones que permitan hackear otras aplicaciones. En este caso Whatsapp.

    ResponderEliminar
  46. Hablando de Hackear, ¿alguien sabe como se puede hackear Pokemon Go? ¿Hay Trucos Pokemon Go para avanzar más rápido en el juego? Gracias

    ResponderEliminar
  47. se aprende mucho de lo expuestos que estamos por eso yo siempre actualizo whatsapp

    ResponderEliminar
  48. Se necesita instalar whatsapp para poder espiar las conversaciones de los demás.

    ResponderEliminar
  49. Es posible recuperar mensajes borrados de WhatsApp de un año de antigüedad?

    ResponderEliminar
  50. ¿Necesita 100% garantía de servicios de piratería sin demora? Luego, póngase en contacto con prudenthcakers@gmail.com, si ha estado decepcionado con el
       Pasado por falsos hackers, entonces estás en el lugar correcto.
    Somos expertos en cortar el siguiente y más;
    : Cambio de Grados Universitarios
    Préstamo
    : Contabilidad de cuentas bancarias
    Los piratas informáticos piratean
    : Banco / cajero automático
    : Cuentas de correo electrónico
    : Cambios en el Grado
    : Pirateo estrellado del sitio web
    : Servidor se estrelló hack
    : Recuperar archivos / documentos perdidos
    : Borrar antecedentes penales
    : Pirateo de bases de datos
    : Venta de tarjetas de descarga de todo tipo
    : Ip no detectable
    : Las computadoras individuales piratean
    : Sitios web hackear
    Facebook hackeo
    : Control remoto del dispositivo
    : Burner Numbers hack
    : Cuentas de PayPal verificadas
    : Cualquier hack de cuenta de redes sociales
    : Android hack y iPhone
    : Word Press Blogs hackeo
    : Hackear el mensaje de interceptación de texto
    : Interceptación de correo electrónico, etc.
    Para más consultas, contáctenos en prudenthcakers@gmail.com

    ResponderEliminar
  51. ¿Necesita 100% garantía de servicios de piratería sin demora? Luego, póngase en contacto con prudenthcakers@gmail.com, si ha estado decepcionado con el
       Pasado por falsos hackers, entonces estás en el lugar correcto.
    Somos expertos en cortar el siguiente y más;
    : Cambio de Grados Universitarios
    Préstamo
    : Contabilidad de cuentas bancarias
    Los piratas informáticos piratean
    : Banco / cajero automático
    : Cuentas de correo electrónico
    : Cambios en el Grado
    : Pirateo estrellado del sitio web
    : Servidor se estrelló hack
    : Recuperar archivos / documentos perdidos
    : Borrar antecedentes penales
    : Pirateo de bases de datos
    : Venta de tarjetas de descarga de todo tipo
    : Ip no detectable
    : Las computadoras individuales piratean
    : Sitios web hackear
    Facebook hackeo
    : Control remoto del dispositivo
    : Burner Numbers hack
    : Cuentas de PayPal verificadas
    : Cualquier hack de cuenta de redes sociales
    : Android hack y iPhone
    : Word Press Blogs hackeo
    : Hackear el mensaje de interceptación de texto
    : Interceptación de correo electrónico, etc.
    Para más consultas, contáctenos en prudenthcakers@gmail.com

    ResponderEliminar
  52. I DONT KNOW WHAT YOU HAVE BEEN THROUGH OR HOW LONG YOU HAVE BEEN LOOKING BUT THIS IS THE LAST STOP AS THERE IS A HACKER WHO CAN HELP YOU WITH SPY WARE ON YOUR CHEATING PARTNER OR UPGRADE YOUR SCHOOL SCORES OR HELP WITH RESULT AND CLEAR ANY CRIMINAL RECORD..

    HACKING OF FACEBOOK , EMAIL , AND BANK ACCOUNTS ARE HIS SPECIALTY.. EMAIL : GREENFR1007@GMAIL.COM OR SKYPE:SATISH.ANCHAN4

    BEST EVER

    ResponderEliminar
  53. Es por eso que no me confio de ningún mensaje raro que reciba a través del chat de facebook messenger, ya que podría ser un virus o un hacker malicioso.

    ResponderEliminar