Los piratas informáticos descubren nuevas víctimas del stalkerware TheTruthSpy: ¿Está comprometido su dispositivo Android?

Un software espía de consumo La operación llamada TheTruthSpy plantea un riesgo continuo de seguridad y privacidad para miles de personas cuyos dispositivos Android se ven comprometidos sin saberlo con sus aplicaciones de vigilancia móvil, sobre todo debido a una simple falla de seguridad que sus operadores nunca solucionaron.

Ahora, dos grupos de hackers han encontrado de forma independiente la falla que permite el acceso masivo a los datos de los dispositivos móviles robados de las víctimas directamente desde los servidores de TheTruthSpy.

Hacker con sede en Suiza maia incendio provocado crimew dijo en una publicación de blog que los grupos de hackers SiegedSec y ByteMeCrew identificaron y explotaron la falla en diciembre de 2023. Crimew, a quien ByteMeCrew le proporcionó un caché de los datos de las víctimas de TheTruthSpy, también describió el hallazgo de varias vulnerabilidades de seguridad nuevas en la pila de software de TheTruthSpy.

HERRAMIENTA DE BÚSQUEDA DE SPYWARE

Puede comprobar si su teléfono o tableta Android se vio comprometido aquí.

Crimew proporcionó a TechCrunch algunos de los datos de TheTruthSpy violados para su verificación y análisis, que incluían los números IMEI únicos del dispositivo e ID de publicidad de decenas de miles de teléfonos Android recientemente comprometidos por TheTruthSpy. TechCrunch verificó que los nuevos datos sean auténticos al comparar algunos de los números IMEI e ID de publicidad con una lista de dispositivos anteriores que se sabe que están comprometidos por TheTruthSpy, como se descubrió durante una investigación anterior de TechCrunch.

El último lote de datos incluye los identificadores de dispositivos Android de todos los teléfonos y tabletas comprometidos por TheTruthSpy hasta diciembre de 2023 inclusive. Los datos muestran que TheTruthSpy continúa espiando activamente a grandes grupos de víctimas en Europa, India, Indonesia, Estados Unidos, Reino Unido y otros lugares.

TechCrunch ha agregado los identificadores únicos más recientes (alrededor de 50,000 nuevos dispositivos Android) a nuestra herramienta gratuita de búsqueda de software espía que le permite verificar si su dispositivo Android fue comprometido por TheTruthSpy.

Un error de seguridad en TheTruthSpy expuso los datos del dispositivo de las víctimas

Durante un tiempo, TheTruthSpy fue una de las aplicaciones más prolíficas para facilitar la vigilancia secreta de dispositivos móviles.

TheTruthSpy forma parte de una flota de aplicaciones de software espía para Android casi idénticas, incluidas Copy9 e iSpyoo y otras, que alguien, normalmente con conocimiento de su contraseña, coloca sigilosamente en el dispositivo de una persona. Estas aplicaciones se denominan “stalkerware” o “spouseware” por su capacidad para rastrear y monitorear ilegalmente a personas, a menudo cónyuges, sin su conocimiento.

Las aplicaciones como TheTruthSpy están diseñadas para permanecer ocultas en las pantallas de inicio, lo que hace que estas aplicaciones sean difíciles de identificar y eliminar, mientras cargan continuamente el contenido del teléfono de la víctima en un panel visible para el abusador.

Pero mientras TheTruthSpy promocionaba sus poderosas capacidades de vigilancia, la operación de software espía prestó poca atención a la seguridad de los datos que estaba robando.

Como parte de una investigación sobre aplicaciones de software espía para consumidores en febrero de 2022, TechCrunch descubrió que TheTruthSpy y sus aplicaciones clonadas comparten una vulnerabilidad común que expone los datos del teléfono de la víctima almacenados en los servidores de TheTruthSpy. El error es particularmente dañino porque es extremadamente fácil de explotar y otorga acceso remoto ilimitado a todos los datos recopilados desde el dispositivo Android de la víctima, incluidos sus mensajes de texto, fotos, grabaciones de llamadas y datos precisos de ubicación en tiempo real.

Pero los operadores detrás de TheTruthSpy nunca solucionaron el error, dejando a sus víctimas expuestas a que sus datos se vean aún más comprometidos. Sólo información limitada sobre el error, conocido como CVE-2022-0732se reveló posteriormente y TechCrunch continúa ocultando detalles del error debido al riesgo continuo que representa para las víctimas.

Dada la simplicidad del error, su explotación pública era sólo cuestión de tiempo.

TheTruthSpy vinculado a la startup con sede en Vietnam, 1Byte

Este es el último de una serie de incidentes de seguridad que involucran a TheTruthSpy y, por extensión, a los cientos de miles de personas cuyos dispositivos se vieron comprometidos y les robaron sus datos.

En junio de 2022, una fuente proporcionó a TechCrunch datos filtrados que contenían registros de todos los dispositivos Android alguna vez comprometidos por TheTruthSpy. Sin forma de alertar a las víctimas (y sin alertar potencialmente a sus abusadores), TechCrunch creó una herramienta de búsqueda de software espía para permitir que cualquiera pueda comprobar por sí mismo si sus dispositivos estaban comprometidos.

La herramienta de búsqueda busca coincidencias con una lista de números IMEI e ID de publicidad que se sabe que han sido comprometidos por TheTruthSpy y sus aplicaciones clonadas. TechCrunch también tiene una guía sobre cómo eliminar el software espía TheTruthSpy, si es seguro hacerlo.

Pero las malas prácticas de seguridad de TheTruthSpy y los servidores con fugas también ayudaron a exponer las identidades reales de los desarrolladores detrás de la operación, quienes habían hecho esfuerzos considerables para ocultar sus identidades.

TechCrunch descubrió más tarde que una startup con sede en Vietnam llamada 1Byte está detrás de TheTruthSpy. Nuestra investigación encontró que 1Byte ganó millones de dólares a lo largo de los años en ganancias de su operación de software espía al canalizar los pagos de los clientes hacia cuentas de Stripe y PayPal configuradas con identidades estadounidenses falsas utilizando pasaportes estadounidenses, números de seguridad social y otros documentos falsificados.

Nuestra investigación encontró que las identidades falsas estaban vinculadas a cuentas bancarias en Vietnam administradas por empleados de 1Byte y su director, Van Thieu. En su apogeo, TheTruthSpy ganó más de 2 millones de dólares en pagos de clientes.

PayPal y Stripe suspendieron las cuentas del fabricante de software espía tras investigaciones recientes de TechCrunch, al igual que las empresas de alojamiento web con sede en EE. UU. que 1Byte utilizó para alojar la infraestructura de la operación de software espía y almacenar los vastos bancos de datos telefónicos robados de las víctimas.

Después de que los servidores web de EE. UU. arrancaron TheTruthSpy desde sus redes, la operación de software espía ahora está alojada en servidores en Moldavia por un servidor web llamado AlexHost, dirigido por Alexandru Scutru, que afirma tener una política de ignorar las solicitudes de eliminación de derechos de autor de EE. UU.

Aunque obstaculizado y degradado, TheTruthSpy todavía facilita activamente la vigilancia de miles de personas, incluidos estadounidenses.

Mientras permanezca en línea y operativo, TheTruthSpy amenazará la seguridad y privacidad de sus víctimas, pasadas y presentes. No sólo por la capacidad del software espía para invadir la vida digital de una persona, sino porque TheTruthSpy no puede evitar que los datos que roba se filtren en Internet.

Lea más en TechCrunch:

Fuente