Un nuevo spyware para Android se está vendiendo abiertamente en internet, y trae consigo algo mucho más peligroso que sus funciones de vigilancia por sí solas. Por un pago, cualquiera puede comprarlo, poner su propio nombre y logotipo, y comenzar a venderlo como su propio producto. 

Una nueva herramienta de spyware para Android se está vendiendo abiertamente en internet, y viene con algo mucho más peligroso que sus propias funciones de vigilancia.

Por una tarifa, cualquier persona puede comprarla, ponerle su propio nombre y logotipo, y empezar a venderla como si fuera su propio producto.

Esta no es solo una historia sobre malware. Es una advertencia sobre cómo el modelo de negocio del spyware está evolucionando de formas que dificultan que las fuerzas del orden lo detengan.

La herramienta se llama KidsProtect. Se presenta como una aplicación de monitoreo parental, pero su verdadero propósito no tiene nada que ver con la seguridad infantil.

Una vez instalada en el dispositivo objetivo, se ejecuta completamente en segundo plano, otorgando al operador un control total sobre el teléfono de la víctima sin que esta se entere jamás.

Funciona en Android 7 y versiones superiores, afirma ser compatible con Android 16 y se vende mediante una suscripción que comienza en 60 $.

Un paquete independiente de "marca blanca" permite a los compradores cambiarle la marca por completo y revenderla bajo el nombre de su propia empresa y su propia estructura de precios.

Analistas de Certo identificaron KidsProtect siendo anunciada abiertamente en un foro de hacking de la web superficial, un lugar inusual para una herramienta que afirma proteger a los niños.

El anuncio hacía poco esfuerzo por ocultar el verdadero propósito de la herramienta, publicitándola como "Construida para la Estabilidad y el Sigilo" y ofreciendo una prueba gratuita de un día a los compradores potenciales.

El desarrollador, basándose en los detalles del perfil del foro y las capturas de pantalla de la aplicación, parece hablar griego.

El modelo de revendedor de marca blanca significa que, aunque una autoridad detenga a un operador, decenas de nuevos operadores pueden relanzar la misma tecnología con una marca nueva en cuestión de horas.

Esto socava directamente las acciones judiciales pasadas. En 2024, un tribunal de Nueva York ordenó el cierre de PhoneSpector y Highster Mobile, dos plataformas de stalkerware muy conocidas. El modelo de revendedor de KidsProtect está diseñado específicamente para que tales victorias sean mucho menos significativas con el tiempo.

Ocultándose a plena vista: Cómo KidsProtect evade la detección

Quizás el aspecto más deliberado de KidsProtect es cuánto se esfuerza por permanecer invisible en el dispositivo. Una vez instalada, no aparece bajo su nombre real.

En su lugar, se muestra como "WiFi Service" o "WiFiService Installer", una etiqueta genérica que la mayoría de los usuarios pasaría por alto sin pensarlo dos veces.

Su servicio de accesibilidad está etiquetado como "WiFiService Assistant" y su receptor de notificaciones se llama "WiFiService Monitor", haciendo que cada componente visible parezca un proceso del sistema inofensivo.

El nombre del paquete de la aplicación, com.example.parentguard, levanta sospechas inmediatas para cualquiera con conocimientos de desarrollo de software.

El prefijo "com.example" es un marcador de posición utilizado en tutoriales de programación para principiantes y casi nunca aparece en software comercial real vendido a clientes pagadores.

Su uso aquí sugiere fuertemente una elección deliberada para evitar dejar una identidad rastreable dentro de la propia aplicación.

Los investigadores de Certo obtuvieron y analizaron el archivo APK, confirmando que la aplicación solicita una lista extensa de permisos de Android, incluyendo ACCESS_BACKGROUND_LOCATION, RECORD_AUDIO, CAMERA, READ_SMS, READ_CALL_LOG y READ_CONTACTS, entre muchos otros.

La aplicación también abusa del permiso del Servicio de Accesibilidad de Android, que le otorga la capacidad de leer cualquier contenido mostrado en pantalla e interceptar contraseñas mientras se escriben, dando al atacante visibilidad total de todo el dispositivo.

La aplicación solicita los permisos SYSTEM_ALERT_WINDOW y REQUEST_IGNORE_BATTERY_OPTIMIZATIONS, que evitan que Android la cierre para ahorrar batería.

Un componente BootReceiver la reinicia automáticamente en cada reinicio del dispositivo. Para bloquear su eliminación, se registra como Administrador del Dispositivo a través de MyDeviceAdminReceiver, haciendo que sea imposible desinstalarla mediante los ajustes normales del teléfono.

Su página de descarga indica a los usuarios que desactiven Google Play Protect antes de instalarla, una señal de que la aplicación sería marcada como malware si el escáner integrado de Android estuviera activo.

Se recomienda encarecidamente a los usuarios mantener habilitado Google Play Protect en todo momento y nunca instalar archivos APK de fuentes externas a la tienda oficial de Google Play.

Cualquier aplicación que solicite acceso al Servicio de Accesibilidad debe ser revisada cuidadosamente antes de conceder el permiso. Revisar la lista de Administradores del Dispositivo en los ajustes de seguridad de Android puede ayudar a identificar entradas no autorizadas.

Si se detecta el nombre del paquete com.example.parentguard en cualquier dispositivo, debe tratarse como una infección confirmada y reportarse inmediatamente.

Indicadores de Compromiso:-

Nombre del Paquete: com.example.parentguard

Hashes SHA-256:–

• 9864db6b5800d9e03b747c46fdef988e035cadde83077a41c5610d5d89f753a0
• 1b1d9b260deec0c612ec67579fd36fec7722b2b8446ab32284a08f44f4ea64da
• f4e9733d93ce35ecd3c83f18addf77f8ff49444d09847eaeef9c8e87837d0165
• 17817d9e29920493bb20ed626c3026e3c29eb6f1d56ef9462c306066ce2ad171
• f0d01b28ddfdbefe0697994a6b30f2b8a4e39ef1ad6c9427b921b2ccd945a8c5