Sammi De Blas

0x05: Qualcomm MSM8916 & Cellular SIGINT

// PROYECTO: Cellular Intelligence & Hardware Hacking

// HARDWARE: Qualcomm MSM8916 (Snapdragon 410) / UFI003

// ENTORNO: DragonOS (Debian-based SIGINT Suite)

0x01. El Potencial del "OpenStick"

Lo que a simple vista parece un módem USB 4G genérico de 15 euros es, en realidad, un ordenador **ARM64 de cuatro núcleos** con 512MB de RAM.

Mi objetivo en este laboratorio fue doble: 

  • Primero, auditar la red celular a bajo nivel mediante comandos AT.
  • Segundo, sentar las bases para transformar este dongle en un SBC (Single Board Computer) persistente para análisis remoto.

Qualcomm Dongle

0x02. Preparación del Host (Sysadmin Mode)

El primer reto es que Linux no reconoce el dispositivo como un módem serial de forma nativa. 

Tuve que intervenir en el Kernel para forzar la carga del driver option y neutralizar el ModemManager para evitar conflictos durante la comunicación directa.

# Forzar reconocimiento del ID del fabricante (Qualcomm 4094)
sudo modprobe option
sudo sh -c 'echo 05c6 90b3 > /sys/bus/usb-serial/drivers/option1/new_id'

Neutralizar ModemManager (Evita el secuestro del puerto serial)


sudo systemctl stop ModemManager
sudo systemctl mask ModemManager


Conexión táctica via Screen


sudo screen /dev/ttyUSB0 115200

0x03. Interacción Serial y SIGINT

Una vez establecida la conexión con el procesador del módem, utilicé comandos AT para extraer inteligencia de la red de mi operador (DIGI/Movistar). 

Estos son los registros de la operación:

ComandoAcción / Resultado Técnico
ATIIdentificación: Qualcomm 4094 / Rev UFI003.
AT+CPIN="1234"Desbloqueo de SIM en el HLR local.
AT+CSQCalidad de señal: 19,99 (RSSI > 15 es excelente).
AT+COPS=?Escaneo de bandas: Identifica torres de Movistar, Orange y Vodafone.

0x04. Inteligencia de Red 

Para ubicar físicamente la torre de telefonía sin usar GPS, extraje los identificadores únicos de celda (ECI) y área (TAC) mediante el registro EPS/LTE.

Captura de Datos: +CEREG: 2,5,"6FDA","447810A",7

  • TAC (Hex) 6FDA: 28634 (Decimal). Área de rastreo.
  • ECI (Hex) 447810A: 71794698 (Decimal). ID de celda.
  • eNB ID (Cálculo): 71794698 / 256 = Torre 280449.

// Estos parámetros permiten la triangulación exacta mediante CellMapper.

0x05. Pruebas de Canal de Voz

Ejecuté una llamada saliente manual (ATD+346XXXXXXXX;) con un resultado de NO CARRIER

Esto confirma que el módem está forzado en modo LTE sin CS-Fallback o que el plan de la SIM está limitado exclusivamente a datos.

Durante la operación 4G, el SoC subió a 58ºC con un consumo de 0.7W. En reposo (200MHz), se mantiene en unos estables 0.3W.

"Reusing is the first step in hacking."

[ EOF ] 

Noticias en Tiempo Real

Fuentes de ciberseguridad actualizadas automaticamente cada 30 minutos

The Hacker News

Cargando...

CISA Advisories

Cargando...

Krebs on Security

Cargando...