Blog

ACTUALIDAD
wacrypt
31 Ago 2018

WACRYPT, el software especializado en el tratamiento de conversaciones de Whatsapp

/
Publicado por
/
Comentarios0
/

The Security Sentinel ha estado presente en la TomatinaCON (IV Jornada de seguridad informática, celebrada en Buñol). Matías Moreno Cárdenas, Analista de Seguridad IT y Hacking Ético y Director de Tecnología de The Security Sentinel, dio una excepcional conferencia sobre Whatsapp WACRYPT, una herramienta de análisis forense creada por él mismo. Desde TSS no queremos que los amantes del hacking se pierdan dicha conferencia y por eso os la vamos a resumir en este post.

¿Qué es WACRYPT?

WACRYPT es un software especializado en el tratamiento de las conversaciones de Whatsapp, incluyendo imágenes y conversaciones eliminadas. Su característica principal es la automatización del proceso. Consigue extraer las conversaciones de un dispositivo en apenas segundos y con muy pocos “clicks” dentro del propio software. Además, no es necesario rootear el dispositivo. El programa se diseñó específicamente para usuarios que no entienden el proceso de extracción y que necesitan una herramienta de fácil utilización y efectiva para tener acceso a sus conversaciones.

Principales modos de uso

Extracción

Gracias a este modo podemos extraer las conversaciones directamente conectando un terminal Android a través de USB a nuestro equipo. Las comunicaciones se realizan a través de ADB. Este es el modo automatizado de WACRYPT.

Local

La herramienta extrae las conversaciones desde un fichero o ficheros locales en el equipo del usuario. WACRYPT puede leer conversaciones de ficheros desde crypt5 a crypt12, incluidos también los ficheros .db de conversaciones desencriptados. Veremos más en profundidad su funcionamiento en la PoC.

 

Historia del software

WACRYPT nació del desarrollo de un proyecto cancelado, dedicado al estudio del uso del lenguaje sobre nuevas tecnologías. Al cancelarse el proyecto y al tener un programa funcional y de sencilla ejecución (el núcleo se utilizaba por consola), se decidió crear un programa más “vistoso” de cara a un usuario inexperto, con el principal objetivo de llegar al mayor número de usuarios desconocedores de la “extracción de conversaciones Whatsapp”. WACRYPT se lanzó a la venta en Internet en agosto de 2014 y consiguió más de 10k descargas en dos meses.

Por aquel entonces, Whatsapp funcionaba a través del cifrado crypt5 para almacenar los datos de manera local de las conversaciones. Era un cifrado muy sencillo, dado que la clave de descifrado era el correo de gmail registrado en el terminal. Es decir, si un ciberdelincuente conseguía las bases de datos cifradas crypt5, solo le bastaba con conocer el email de la víctima, algo imposible a día de hoy con su crypt12. Aún así WACRYPT soporta estas versiones antiguas en caso de localizar un archivo de estas características.

En su año de lanzamiento, las únicas alternativas eran herramientas que se utilizaban a través de consola y requerían un conocimiento técnico avanzado. Además, todas las herramientas estaban divididas en pequeños scripts/aplicaciones (un script para extraer la clave de cifrado, otra para visualizar las conversaciones, otra para recuperar datos eliminados…), lo que complicaba, para los usuarios menos avanzados, la oportunidad de extraer las conversaciones y mantenerlas en su equipo.

WACRYPT a lo largo de su historia ha colaborado con distintas entidades en Sudamérica contra el crimen organizado. También fue utilizada como herramienta principal en la extracción de conversaciones de terminales Android requisados. WACRYPT facilita la lectura y el análisis de dichas conversaciones.

Características

Algunas de las características de este software son las siguientes:

  1. Automatización del proceso de extracción de conversaciones
  2. Todas las versiones de crypt soportadas
  3. Simplicidad en el proceso para usuarios menos expertos
  4. No es necesario ser root
  5. Organización automática de “repositorios de conversiones”
  6. Organización automática de archivos multimedia
  7. Recuperación de thumbnails de imágenes eliminadas
  8. Recuperación de datos de conversaciones eliminados
  9. Exportación de conversaciones a PDF/HTML
  10. Exportación de conversaciones descifradas
  11. Actualización constante y adición de módulos personalizables
  12. Portabilidad (sin instalación necesaria)
  13. Válido hasta Android 7 (Nougat)*

Prueba de funcionamiento

Para nuestra prueba se utiliza un termina Android con las siguientes características:

  • Samsung Galaxy J3 – SM-J320FN
  • Versión de Android 5.1.1
  • Versión de Whatsapp 2.18.191

Antes de preparar la extracción de conversaciones debemos de poner el dispositivo en modo depuración USB, ya que WACRYPT se comunicará a través de ADB con el terminal.

Una vez activado el modo depuración y al conectar el terminal, WACRYPT detectará el terminal.

Una vez detectado, podemos comenzar con el modo extracción, modo para automatizar el proceso.

Prueba de concepto 1

Como veis, en el proceso el usuario apenas interviene y lo hace para realizar operaciones sencillas. Automáticamente, aparecen las conversaciones en pantalla después de:

  • Iniciar el proceso de WACRYPT.
  • Permitir el backup de datos en el terminal Android.

Además, durante el proceso, WACRYPT crea un repositorio para el terminal que estamos analizando. Almacenando los datos recopilados con la siguiente estructura. Organizado por el número asociado a Whatsapp, se crean carpetas con timestamps con los datos extraídos, conversaciones cifradas, llave de cifrado y posibles datos borrados recuperados de la base de datos. De esta manera si trabajamos con varios terminales podremos tener todo organizado.

Algo similar ocurre en la carpeta images. WACRYPT se encarga de organizar los thumbnails extraídos de las conversaciones. Organizado también por el nombre de la conversación mantenida, como nos aparece en el lector de conversaciones. Si revisamos la carpeta de thumbnails extraída en la PoC, veremos las imágenes correspondientes.

Debemos tener en cuenta que los thumbnails son las miniaturas de las imágenes, si las abrimos las veremos a baja resolución, pero éstos son visibles a simple vista. Están presentes independientemente de si la imagen existe o ha sido borrada del dispositivo. Gracias a esto se ha recuperado una gran cantidad de imágenes en distintas investigaciones en las que el usuario ni siquiera había descargado la imagen, pero existía en la conversación.

Teniendo también los archivos .crypt y key, además de haber exportado las conversaciones a .db como hemos hecho en la prueba de concepto, podemos comenzar a usar el modo local para acceder a los datos de las conversaciones siempre que queramos, como vamos a mostrar a continuación.

Prueba de concepto 2

Prueba de concepto 3

Cómo obtener WACRYPT

Estas son las características principales del software. Para saber más de él y obtener una versión de demostración podéis contactar a través de info@thesecuritysentinel.es.

En The Security Sentinel estaremos encantados de atenderos y de que probéis el software con vuestros terminales Android. Seguiremos desarrollando mejoras para el software continuamente y con cada actualización de Whatsapp.

 

Matías Moreno Cárdenas

@mmorenodev