Χάκερ ανακαλύπτουν νέες θύματα του TheTruthSpy: Παραβιάζεται η ασφάλεια των συσκευών Android;
Ένα καταναλωτικό λογισμικό κατασκοπείας
Η λειτουργία που ονομάζεται TheTruthSpy ενέχει διαρκή κίνδυνο για την ασφάλεια και το απόρρητο για χιλιάδες ανθρώπους των οποίων οι συσκευές Android έχουν παραβιαστεί εν αγνοία τους με τις εφαρμογές επιτήρησης για κινητά, κυρίως λόγω ενός απλού ελαττώματος ασφαλείας που δεν διόρθωσαν ποτέ οι χειριστές του.
Τώρα, δύο ομάδες χάκερ έχουν βρει ανεξάρτητα το ελάττωμα που επιτρέπει τη μαζική πρόσβαση στα δεδομένα των κλεμμένων φορητών συσκευών των θυμάτων απευθείας από τους διακομιστές του TheTruthSpy.
Χάκερ
με έδρα την Ελβετία
είπε η maia arson crimew σε ανάρτηση στο blog
ότι οι ομάδες χάκερ SiegedSec και ByteMeCrew εντόπισαν και εκμεταλλεύτηκαν το ελάττωμα τον Δεκέμβριο του 2023. Ο Crimew, στον οποίο δόθηκε μια κρυφή μνήμη των δεδομένων θυμάτων του TheTruthSpy από το ByteMeCrew, επίσης
περιέγραψε την εύρεση πολλών νέων τρωτών σημείων ασφαλείας
στη στοίβα λογισμικού του TheTruthSpy.
ΕΡΓΑΛΕΙΟ ΑΝΑΓΝΩΡΙΣΗΣ ΛΟΓΙΣΜΙΚΟΥ SPYWARE
Μπορείτε να ελέγξετε εάν το τηλέφωνο ή το tablet σας Android έχει παραβιαστεί εδώ.
Η Crimew παρείχε στην TechCrunch ορισμένα από τα παραβιασμένα δεδομένα TheTruthSpy για επαλήθευση και ανάλυση, τα οποία περιελάμβαναν τους μοναδικούς αριθμούς IMEI της
συσκευή
ς και τα διαφημιστικά αναγνωριστικά δεκάδων χιλιάδων τηλεφώνων Android που παραβιάστηκαν πρόσφατα από το TheTruthSpy. Η TechCrunch επαλήθευσε ότι τα νέα δεδομένα είναι αυθεντικά αντιστοιχίζοντας ορισμένους από τους αριθμούς IMEI και τα διαφημιστικά αναγνωριστικά με μια λίστα προηγούμενων συσκευών που είναι γνωστό ότι έχουν παραβιαστεί από το TheTruthSpy, όπως ανακαλύφθηκε κατά τη διάρκεια μιας προηγούμενης έρευνας του TechCrunch.
Η πιο πρόσφατη παρτίδα δεδομένων περιλαμβάνει τα αναγνωριστικά συσκευών Android για κάθε τηλέφωνο και tablet που έχει παραβιαστεί από το TheTruthSpy έως και τον Δεκέμβριο του 2023. Τα δεδομένα δείχνουν ότι το TheTruthSpy συνεχίζει να κατασκοπεύει ενεργά μεγάλες ομάδες θυμάτων σε Ευρώπη, Ινδία, Ινδονησία, Ηνωμένες Πολιτείες, Ηνωμένο Βασίλειο και αλλού.
Το TechCrunch έχει προσθέσει τα πιο πρόσφατα μοναδικά αναγνωριστικά — περίπου 50.000 νέες συσκευές Android — στο δωρεάν εργαλείο αναζήτησης spyware που σας επιτρέπει να ελέγχετε εάν η συσκευή σας Android έχει παραβιαστεί από το TheTruthSpy.
Σφάλμα ασφαλείας στο TheTruthSpy εξέθεσε τα δεδομένα της συσκευής των θυμάτων
Για ένα διάστημα, το TheTruthSpy ήταν μια από τις πιο παραγωγικές εφαρμογές για τη διευκόλυνση της μυστικής επιτήρησης φορητών συσκευών.
Το TheTruthSpy είναι ένα από ένα στόλο σχεδόν πανομοιότυπων εφαρμογών spyware Android, συμπεριλαμβανομένων των Copy9 και iSpyoo και άλλων, οι οποίες τοποθετούνται κρυφά στη συσκευή ενός ατόμου από κάποιον που συνήθως γνωρίζει τον κωδικό πρόσβασής του. Αυτές οι εφαρμογές ονομάζονται “stalkerware” ή “spouseware”, λόγω της ικανότητάς τους να παρακολουθούν και να παρακολουθούν παράνομα άτομα, συχνά συζύγους, εν αγνοία τους.
Εφαρμογές όπως το TheTruthSpy έχουν σχεδιαστεί για να παραμένουν κρυφές στις αρχικές
οθόνες
, καθιστώντας αυτές τις εφαρμογές δύσκολο να εντοπιστούν και να αφαιρεθούν, ενώ ανεβάζουν συνεχώς τα περιεχόμενα του τηλεφώνου του θύματος σε έναν πίνακα εργαλείων που είναι ορατός από τον θύτη.
Αλλά ενώ το TheTruthSpy διαφημίζει τις ισχυρές του δυνατότητες παρακολούθησης, η επιχείρηση spyware έδωσε λίγη προσοχή στην ασφάλεια των δεδομένων που έκλεβε.
Ως μέρος μιας έρευνας για εφαρμογές spyware καταναλωτικής ποιότητας τον Φεβρουάριο του 2022, το TechCrunch ανακάλυψε ότι το TheTruthSpy και οι κλωνοποιημένες εφαρμογές του μοιράζονται μια κοινή ευπάθεια που εκθέτει τα δεδομένα τηλεφώνου του θύματος που είναι αποθηκευμένα στους διακομιστές του TheTruthSpy. Το σφάλμα είναι ιδιαίτερα επιζήμιο επειδή είναι εξαιρετικά εύκολο στην εκμετάλλευση και παρέχει απεριόριστη απομακρυσμένη πρόσβαση σε όλα τα δεδομένα που συλλέγονται από τη συσκευή Android του θύματος, συμπεριλαμβανομένων των μηνυμάτων κειμένου, των φωτογραφιών, των εγγραφών κλήσεων και των ακριβών δεδομένων τοποθεσίας σε πραγματικό χρόνο.
Ωστόσο, οι χειριστές πίσω από το TheTruthSpy δεν διόρθωσαν ποτέ το σφάλμα, αφήνοντας τα θύματά του εκτεθειμένα σε περαιτέρω παραβίαση των δεδομένων τους. Μόνο περιορισμένες πληροφορίες σχετικά με το σφάλμα,
γνωστό ως CVE-2022-0732
αποκαλύφθηκε στη συνέχεια και το TechCrunch συνεχίζει να αποκρύπτει λεπτομέρειες για το σφάλμα λόγω του συνεχιζόμενου κινδύνου που ενέχει για τα θύματα.
Δεδομένης της απλότητας του σφάλματος, η δημόσια εκμετάλλευσή του ήταν μόνο θέμα χρόνου.
Το TheTruthSpy συνδέεται με startup με έδρα το
Βιετνάμ
, 1Byte
Αυτό είναι το πιο πρόσφατο σε μια σειρά περιστατικών ασφαλείας που αφορούν το TheTruthSpy και κατ’ επέκταση τους εκατοντάδες χιλιάδες ανθρώπους των οποίων οι συσκευές έχουν παραβιαστεί και έχουν κλαπεί τα δεδομένα τους.
Τον Ιούνιο του 2022, μια πηγή παρείχε στο TechCrunch δεδομένα που διέρρευσαν που περιείχαν αρχεία κάθε συσκευής Android που έχει παραβιαστεί ποτέ από το TheTruthSpy. Χωρίς τρόπο ειδοποίησης των θυμάτων (και χωρίς πιθανή ειδοποίηση των καταχραστών τους), η TechCrunch δημιούργησε ένα εργαλείο αναζήτησης spyware για να επιτρέπει σε οποιονδήποτε να ελέγχει μόνος του εάν οι συσκευές τους έχουν παραβιαστεί.
Το εργαλείο αναζήτησης αναζητά αντιστοιχίσεις με μια λίστα με αριθμούς IMEI και αναγνωριστικά διαφήμισης που είναι γνωστό ότι έχουν παραβιαστεί από το TheTruthSpy και τις εφαρμογές
κλωνοποίηση
ς του. Το TechCrunch έχει επίσης έναν οδηγό για το πώς να αφαιρέσετε το λογισμικό υποκλοπής TheTruthSpy — εάν είναι ασφαλές να το κάνετε.
Αλλά οι κακές πρακτικές ασφαλείας και οι διαρροές διακομιστών του TheTruthSpy βοήθησαν επίσης να αποκαλυφθούν οι πραγματικές ταυτότητες των προγραμματιστών πίσω από την επιχείρηση, οι οποίοι είχαν κάνει σημαντικές προσπάθειες για να αποκρύψουν την ταυτότητά τους.
Το TechCrunch ανακάλυψε αργότερα ότι μια startup με έδρα το Βιετνάμ που ονομάζεται 1Byte βρίσκεται πίσω από το TheTruthSpy. Η έρευνά μας διαπίστωσε ότι η 1Byte κέρδισε εκατομμύρια δολάρια όλα αυτά τα χρόνια σε έσοδα από τη λειτουργία του spyware διοχετεύοντας πληρωμές πελατών σε λογαριασμούς Stripe και PayPal που έχουν δημιουργηθεί με ψευδείς αμερικανικές ταυτότητες χρησιμοποιώντας πλαστά διαβατήρια, αριθμούς κοινωνικής ασφάλισης και άλλα πλαστά έγγραφα.
Η έρευνά μας διαπίστωσε ότι οι ψευδείς ταυτότητες συνδέονταν με τραπεζικούς λογαριασμούς στο Βιετνάμ που διαχειρίζονται υπάλληλοι της 1Byte και ο διευθυντής της, Van Thieu. Στο αποκορύφωμά του, το TheTruthSpy έκανε πάνω από 2 εκατομμύρια δολάρια σε πληρωμές πελατών.
Η PayPal και η Stripe ανέστειλαν τους λογαριασμούς του κατασκευαστή spyware μετά από πρόσφατες έρευνες από την TechCrunch, όπως και οι εταιρείες φιλοξενίας ιστοσελίδων που εδρεύουν στις ΗΠΑ που η 1Byte χρησιμοποιούσε για να φιλοξενήσει την υποδομή της λειτουργίας spyware και να αποθηκεύσει τις τεράστιες τράπεζες των κλεμμένων δεδομένων τηλεφώνου των θυμάτων.
Αφού οι οικοδεσπότες Ιστού των ΗΠΑ εκκίνησαν το TheTruthSpy από τα δίκτυά τους, η λειτουργία spyware φιλοξενείται πλέον σε διακομιστές στη Μολδαβία από έναν οικοδεσπότη Ιστού που ονομάζεται AlexHost, τον οποίο διευθύνει ο Alexandru Scutaru, ο οποίος ισχυρίζεται ότι η πολιτική αγνοεί τα αιτήματα κατάργησης πνευματικών δικαιωμάτων στις ΗΠΑ.
Αν και παραγκωνισμένο και υποβαθμισμένο, το TheTruthSpy εξακολουθεί να διευκολύνει ενεργά την παρακολούθηση χιλιάδων ανθρώπων, συμπεριλαμβανομένων των Αμερικανών.
Για όσο διάστημα παραμένει διαδικτυακό και λειτουργικό, το TheTruthSpy θα απειλεί την ασφάλεια και το απόρρητο των θυμάτων του, στο παρελθόν και στο παρόν. Όχι μόνο λόγω της ικανότητας του spyware να εισβάλλει στην ψηφιακή ζωή ενός ατόμου, αλλά επειδή το TheTruthSpy δεν μπορεί να εμποδίσει τα δεδομένα που κλέβει να διαχυθούν στο διαδίκτυο.
Διαβάστε περισσότερα στο TechCrunch:
VIA:
techcrunch.com
