(https://techcrunch.com/wp-content/uploads/2025/07/catwatchful-data-breach-exposed.jpg?resize=1280,877)
Una falla en el software espía Catwatchful para Android expuso toda su base de datos de usuarios, filtrando direcciones de correo electrónico y contraseñas en texto plano tanto de los clientes como de su administrador, según informó TechCrunch.
El investigador de seguridad Eric Daigle fue el primero en descubrir la vulnerabilidad.
Catwatchful es un software espía (spyware) que se hace pasar por una aplicación de monitoreo infantil y afirma ser "invisible e indetectable", mientras sube el contenido privado del teléfono de la víctima a un panel visible para quien la instaló. Los datos robados incluyen fotos, mensajes y datos de ubicación en tiempo real de las víctimas. La aplicación también puede acceder remotamente al audio ambiental en vivo del micrófono del teléfono y acceder a las cámaras frontal y trasera.
Las aplicaciones de software espía como Catwatchful están prohibidas en las tiendas de aplicaciones y dependen de que alguien con acceso físico al teléfono de una persona las descargue e instale. Por ello, estas aplicaciones se conocen comúnmente como "stalkerware" (o software de pareja) por su propensión a facilitar la vigilancia no consentida de cónyuges y parejas, lo cual es ilegal.
Catwatchful es el último ejemplo de una creciente lista de operaciones de stalkerware que han sido hackeadas, violadas o que han expuesto de alguna otra forma los datos que obtienen. Este incidente pone de manifiesto cómo el spyware de consumo sigue propagándose, a pesar de estar a menudo mal diseñado y plagado de fallos de seguridad que ponen tanto a los usuarios como a las víctimas en riesgo de fugas de datos.
"Según una copia de la base de datos de principios de junio, a la que TechCrunch ha tenido acceso, Catwatchful tenía las direcciones de correo electrónico y las contraseñas de más de 62.000 clientes y los datos telefónicos de los dispositivos de 26.000 víctimas", afirma el informe publicado por TechCrunch.
La mayoría de las víctimas del spyware Catwatchful se encontraban en México, Colombia, India y otros países latinoamericanos, con algunos datos que datan de 2018. La base de datos también expuso al administrador de la operación, Omar Soca Charcov, de Uruguay, quien no respondió a las solicitudes de comentarios. TechCrunch compartió los datos filtrados con Have I Been Pwned para ayudar a informar a las posibles víctimas de la filtración.
Catwatchful sube secretamente los datos de las víctimas a una base de datos de Firebase, accesible para los usuarios a través de un panel web. Tras registrarse, los usuarios reciben un APK preconfigurado que requiere acceso físico para su instalación. Una vez activo, permite el espionaje en tiempo real. El investigador de seguridad Eric Daigle encontró una falla de inyección SQL que expuso toda la base de datos de Firebase, revelando inicios de sesión en texto plano, contraseñas de 62050 cuentas y vínculos entre usuarios y dispositivos.
El segundo aspecto destacable es que todos los datos personales recopilados aquí parecen estar almacenados en Firebase, proporcionados desde las URL de Cloud Storage con el formato catwatchful-e03b8.appspot.com/o/usersFiles/JIOgo826TPfb0pMFKmzkE7jz9JO2/M6GPYXHZ95ULUFD0/micRecorders/grab_2025-06-09_17-04-34.
Interceptar el tráfico de mi teléfono de prueba confirma que los archivos se suben directamente a Firebase y revela que los comandos para funciones como las fotos en vivo también se gestionan a través de FCM. Según el informe publicado por Daigle, un atacante puede usar la información de la base de datos para acceder a cualquier cuenta. Daigle compartió sus hallazgos con Zack Whittaker, editor de seguridad de TechCrunch, quien contactó a Google el 23 de junio de 2025. Google lo detectó a través de Navegación Segura, mientras que el equipo de Firebase afirmó estar investigando, pero la base de datos seguía en línea en ese momento.
A continuación, se muestra la cronología de esta vulnerabilidad:
09/06/2025: Se descubre la vulnerabilidad. Se contacta a Zack (Zack Whittaker, editor de seguridad de TechCrunch).
23/06/2025: Zack contacta a Google, quien la reporta en Navegación Segura. El equipo de Firebase afirma estar investigándola (la base de datos sigue activa al momento de escribir este artículo).
25/06/2025: Zack contacta a Hosting.com, que aloja catwatchful.pink (el sitio web está inactivo al final del día, lo que interrumpe el servicio) y a la persona identificada como la que lo ejecuta (sin respuesta al momento de escribir este artículo).
26/06/2025: Se restaura el servicio y catwatchful.pink es reemplazado por xng.vju.temporary.site, que aún es vulnerable.
27/06/2025: Se activa un WAF en xng.vju.temporary.site, bloqueando con éxito la SQLI.
02/07/2025: Publicación
TechCrunch informó que la presencia de Catwatchful puede detectarse y desinstalarse marcando "543210" en el dispositivo infectado.
(https://techcrunch.com/wp-content/uploads/2025/07/catwatchful-backdoor-code-1-remove.jpg)
"Este código es una función de puerta trasera integrada que permite a quien instaló la aplicación recuperar el acceso a la configuración una vez que esta se oculta. Este código también puede ser utilizado por cualquier persona para comprobar si la aplicación está instalada", concluye TechCrunch.
Fuente:
TechCrunch
https://techcrunch.com/2025/07/02/data-breach-reveals-catwatchful-stalkerware-spying-on-thousands-android-phones/
Vía:
SecurityAffairs
https://securityaffairs.com/179620/malware/a-flaw-in-catwatchful-spyware-exposed-logins-of-62000-users.html