Catwatchful es un 'software' espía para Android que se instala en el teléfono de la víctima, donde actúa en segundo plano sin ser detectado, camuflado como con un icono de configuración. Sus creadores aseguran que no solo no se puede detectar, sino que tampoco se puede desinstalar.
En el momento de su instalación, solicita permiso para acceder a práctica todos los rincones del dispositivo, para extraer información y manipularlo, por ejemplo, para activar el micrófono o hacer una fotografía sin que estas acciones lo delaten.
Toda la información que recopila la envía con una API personalizada a los servidores propios de Catwatchful y a Firebase, un servicio de almacenamiento. Esa API no estaba autenticada, lo que permitió al investigador de ciberseguridad Eric Daigle acceder a la base de datos.
En ella, Daigle encontró registros de nombres de usuario y contraseñas guardados en texto plano (sin encriptar) de unas 62.000 cuentas, según los cálculos del propio investigador. También datos de dispositivos y estadísticas de seguimiento.
Tras su descubrimiento, el investigador contactó con el periodista de TechCrunch Zack Whittaker, quien a su vez puso en conocimiento de Google esta base de datos. El gigante tecnológico incorporó Catwatchful a las amenazas que monitoriza Play Protect en los dispositivos Android.
Lo inusual de esta investigación es el que análisis de la base de datos expuso al administrador de Catwatchful, como informan en TechCrunch. Identificado como Charcov, aparece como el primer registro e incluso se incluye su nombre completo, su número de teléfono y la dirección web de la instancia de Firebase donde se almacena.
Catwatchful asegura que no puede desinstalarse, pero puede descubrirse si está instalado en un dispositivo móvil marcando el número 543210 en la aplicación de Teléfono Android. Como explican en el medio citado, este actúa como una puerta trasera para que el actor malicioso pueda recupera el acceso a la configuración.