Um spyware de consumo A operação chamada TheTruthSpy representa um risco contínuo de segurança e privacidade para milhares de pessoas cujos dispositivos Android estão inconscientemente comprometidos com seus aplicativos de vigilância móvel, principalmente devido a uma simples falha de segurança que seus operadores nunca corrigiram.

Agora, dois grupos de hackers encontraram independentemente a falha que permite o acesso em massa aos dados de dispositivos móveis roubados das vítimas diretamente dos servidores do TheTruthSpy.

Hacker baseado na Suíça Maia incêndio criminoso disse em uma postagem no blog que os grupos de hackers SiegedSec e ByteMeCrew identificaram e exploraram a falha em dezembro de 2023. Crimew, que recebeu um cache dos dados das vítimas do TheTruthSpy da ByteMeCrew, também descreveu a descoberta de várias novas vulnerabilidades de segurança na pilha de software do TheTruthSpy.

FERRAMENTA DE PESQUISA DE SPYWARE

Você pode verificar se o seu telefone ou tablet Android foi comprometido aqui.

Crimew forneceu ao TechCrunch alguns dos dados violados do TheTruthSpy para verificação e análise, que incluíam números IMEI de dispositivos exclusivos e IDs de publicidade de dezenas de milhares de telefones Android recentemente comprometidos pelo TheTruthSpy. O TechCrunch verificou que os novos dados são autênticos comparando alguns dos números IMEI e IDs de publicidade com uma lista de dispositivos anteriores conhecidos por terem sido comprometidos pelo TheTruthSpy, conforme descoberto durante uma investigação anterior do TechCrunch.

O último lote de dados inclui os identificadores de dispositivos Android de cada telefone e tablet comprometidos pelo TheTruthSpy até dezembro de 2023 inclusive. Os dados mostram que o TheTruthSpy continua a espionar ativamente grandes grupos de vítimas na Europa, Índia, Indonésia, Estados Unidos, o Reino Unido e em outros lugares.

O TechCrunch adicionou os identificadores exclusivos mais recentes – cerca de 50.000 novos dispositivos Android – à nossa ferramenta gratuita de pesquisa de spyware que permite verificar se o seu dispositivo Android foi comprometido pelo TheTruthSpy.

Bug de segurança no TheTruthSpy expôs dados de dispositivos das vítimas

Por um tempo, TheTruthSpy foi um dos aplicativos mais prolíficos para facilitar a vigilância secreta de dispositivos móveis.

TheTruthSpy faz parte de uma frota de aplicativos spyware Android quase idênticos, incluindo Copy9 e iSpyoo e outros, que são plantados furtivamente no dispositivo de uma pessoa por alguém normalmente com conhecimento de sua senha. Esses aplicativos são chamados de “stalkerware” ou “spouseware” por sua capacidade de rastrear e monitorar ilegalmente pessoas, muitas vezes cônjuges, sem o seu conhecimento.

Aplicativos como o TheTruthSpy são projetados para permanecer ocultos nas telas iniciais, dificultando a identificação e remoção desses aplicativos, ao mesmo tempo em que carregam continuamente o conteúdo do telefone da vítima para um painel visível pelo agressor.

Mas embora o TheTruthSpy elogiasse suas poderosas capacidades de vigilância, a operação de spyware prestou pouca atenção à segurança dos dados que estava roubando.

Como parte de uma investigação sobre aplicativos spyware de consumo em fevereiro de 2022, o TechCrunch descobriu que TheTruthSpy e seus aplicativos clones compartilham uma vulnerabilidade comum que expõe os dados do telefone da vítima armazenados nos servidores do TheTruthSpy. O bug é particularmente prejudicial porque é extremamente fácil de explorar e concede acesso remoto irrestrito a todos os dados coletados do dispositivo Android da vítima, incluindo mensagens de texto, fotos, gravações de chamadas e dados precisos de localização em tempo real.

Mas os operadores por trás do TheTruthSpy nunca corrigiram o bug, deixando suas vítimas expostas a ter seus dados ainda mais comprometidos. Apenas informações limitadas sobre o bug, conhecido como CVE-2022-0732foi posteriormente divulgado, e o TechCrunch continua a reter detalhes do bug devido ao risco contínuo que representa para as vítimas.

Dada a simplicidade do bug, a sua exploração pública era apenas uma questão de tempo.

TheTruthSpy vinculado à startup sediada no Vietnã, 1Byte

Este é o mais recente de uma série de incidentes de segurança envolvendo o TheTruthSpy e, por extensão, centenas de milhares de pessoas cujos dispositivos foram comprometidos e tiveram seus dados roubados.

Em junho de 2022, uma fonte forneceu ao TechCrunch dados vazados contendo registros de todos os dispositivos Android já comprometidos pelo TheTruthSpy. Sem nenhuma maneira de alertar as vítimas (e sem potencialmente alertar seus agressores), o TechCrunch criou uma ferramenta de pesquisa de spyware para permitir que qualquer pessoa verifique por si mesmo se seus dispositivos foram comprometidos.

A ferramenta de pesquisa procura correspondências em uma lista de números IMEI e IDs de publicidade conhecidos por terem sido comprometidos pelo TheTruthSpy e seus aplicativos clones. O TechCrunch também tem um guia sobre como remover o spyware TheTruthSpy – se for seguro fazê-lo.

Mas as más práticas de segurança e os servidores com vazamentos do TheTruthSpy também ajudaram a expor as identidades reais dos desenvolvedores por trás da operação, que fizeram esforços consideráveis ​​para ocultar suas identidades.

Mais tarde, o TechCrunch descobriu que uma startup baseada no Vietnã chamada 1Byte está por trás do TheTruthSpy. Nossa investigação descobriu que a 1Byte ganhou milhões de dólares ao longo dos anos com receitas de sua operação de spyware, canalizando pagamentos de clientes para contas Stripe e PayPal criadas sob identidades americanas falsas, usando passaportes americanos falsos, números de seguridade social e outros documentos falsos.

A nossa investigação descobriu que as identidades falsas estavam ligadas a contas bancárias no Vietname geridas por funcionários da 1Byte e pelo seu diretor, Van Thieu. No seu auge, o TheTruthSpy faturou mais de US$ 2 milhões em pagamentos de clientes.

PayPal e Stripe suspenderam as contas do fabricante de spyware após investigações recentes do TechCrunch, assim como as empresas de hospedagem na web sediadas nos EUA que a 1Byte usou para hospedar a infraestrutura da operação de spyware e armazenar os vastos bancos de dados telefônicos roubados das vítimas.

Depois que os hosts da web dos EUA inicializaram o TheTruthSpy de suas redes, a operação de spyware agora está hospedada em servidores na Moldávia por um host chamado AlexHost, dirigido por Alexandru Scutaru, que reivindica uma política de ignorar as solicitações de remoção de direitos autorais dos EUA.

Embora prejudicado e degradado, o TheTruthSpy ainda facilita ativamente a vigilância de milhares de pessoas, incluindo americanos.

Enquanto permanecer online e operacional, o TheTruthSpy ameaçará a segurança e a privacidade das suas vítimas, do passado e do presente. Não apenas por causa da capacidade do spyware de invadir a vida digital de uma pessoa, mas porque o TheTruthSpy não consegue impedir que os dados que rouba sejam derramados na Internet.

Leia mais no TechCrunch:

Fuente