یک عملیات جاسوس‌افزار درجه یک مصرف‌کننده به نام TheTruthSpy خطرات امنیتی و حفظ حریم خصوصی هزاران نفر را تهدید می‌کند که دستگاه‌های اندرویدی آن‌ها به طور ناآگاهانه با برنامه‌های نظارتی تلفن همراه خود در معرض خطر قرار گرفته‌اند، حداقل به دلیل یک نقص امنیتی ساده که اپراتورهای آن هرگز آن را برطرف نکردند.

در حال حاضر، دو گروه هکر به طور مستقل نقصی را پیدا کرده اند که اجازه دسترسی انبوه به داده های دستگاه تلفن همراه سرقت شده قربانیان را مستقیماً از سرورهای TheTruthSpy می دهد.

هکر مستقر در سوئیس maia arson crimew در یک پست وبلاگی بيان کرد که گروه های هکر SiegedSec و ByteMeCrew در دسامبر 2023 این نقص را شناسایی و از آن بهره برداری کردند. Crimew که یک حافظه پنهان از داده های قربانی TheTruthSpy از ByteMeCrew به او داده شد، همچنین یافتن چندین آسیب پذیری امنیتی جدید را توضیح داد. پشته نرم افزار TheTruthSpy.

SiegedSec و ByteMeCrew در پستی در تلگرام گفتند که با توجه به ماهیت بسیار حساس آن، داده های نقض شده را به صورت عمومی منتشر نمی کنند.

Crimew برخی از داده‌های TheTruthSpy را برای تأیید و تجزیه و تحلیل به TechCrunch ارائه کرد که شامل شماره‌های منحصر به فرد IMEI دستگاه و شناسه‌های تبلیغاتی ده‌ها هزار تلفن اندرویدی بود که اخیراً توسط TheTruthSpy در معرض خطر قرار گرفته‌اند.

TechCrunch با تطبیق برخی از شماره‌های IMEI و شناسه‌های تبلیغاتی با فهرست ی از دستگاه‌های قبلی که توسط TheTruthSpy در معرض خطر قرار گرفته‌اند، تأیید کرد که در طی تحقیقات قبلی TechCrunch کشف شد.

آخرین دسته از داده ها شامل شناسه های دستگاه اندرویدی هر تلفن و تبلتی است که تا دسامبر 2023 توسط TheTruthSpy در معرض خطر قرار گرفته است. داده ها نشان می دهد که TheTruthSpy به طور فعال به جاسوسی از خوشه های بزرگ قربانیان در سراسر اروپا، هند، اندونزی، ایالات متحده و ایالات متحده ادامه می دهد. انگلستان و جاهای دیگر.

TechCrunch آخرین شناسه‌های منحصربه‌فرد - حدود 50000 دستگاه اندرویدی جدید - را به ابزار جستجوی جاسوس‌افزار رایگان ما اضافه کرده است که به شما امکان می‌دهد تحلیل کنید که آیا دستگاه Android شما توسط TheTruthSpy در معرض خطر قرار گرفته است یا خیر.

اشکال امنیتی در TheTruthSpy اطلاعات دستگاه قربانیان را در معرض دید قرار داد

برای مدتی، TheTruthSpy یکی از پرکارترین برنامه‌ها برای تسهیل نظارت مخفی دستگاه تلفن همراه بود.

TheTruthSpy یکی از ناوگان نرم افزارهای جاسوسی آندروید تقریباً یکسان است، از جمله Copy9 و iSpyoo و سایرین، که به طور مخفیانه توسط شخصی که معمولاً از رمز عبور آنها اطلاع دارد، روی دستگاه شخص نصب می شود. این برنامه‌ها به دلیل توانایی آن‌ها در ردیابی و نظارت غیرقانونی افراد، اغلب همسران، بدون اطلاع آن‌ها، «stalkerware» یا «spouseware» نامیده می‌شوند.

برنامه‌هایی مانند TheTruthSpy به گونه‌ای طراحی شده‌اند که در صفحه‌های اصلی پنهان بمانند و شناسایی و حذف این برنامه‌ها را دشوار می‌کنند، در حالی که به طور مداوم محتویات تلفن قربانی را در داشبوردی که توسط سوءاستفاده‌کننده قابل مشاهده است آپلود می‌کنند.

اما در حالی که TheTruthSpy توانایی های نظارتی قدرتمند خود را تبلیغ می کرد، عملیات جاسوسی توجه کمی به امنیت داده هایی که دزدیده بود داشت.

به عنوان بخشی از تحقیقات در مورد برنامه های جاسوس افزار درجه یک مصرف کننده در فوریه 2022، TechCrunch کشف کرد که TheTruthSpy و برنامه های شبیه سازی شده آن دارای آسیب پذیری مشترکی هستند که داده های تلفن قربانی ذخیره شده در سرورهای TheTruthSpy را افشا می کند. این باگ به‌ویژه آسیب‌رسان است زیرا بهره‌برداری از آن بسیار آسان است و به همه داده‌های جمع‌آوری‌شده از دستگاه اندروید قربانی، از جمله پیام‌های متنی، عکس‌ها، ضبط تماس‌ها و داده‌های موقعیت مکانی دقیق در زمان واقعی، دسترسی از راه دور بدون محدودیت را می‌دهد.

اما اپراتورهای پشتیبان TheTruthSpy هرگز این باگ را برطرف نکردند و قربانیان آن را در معرض خطر بیشتر در معرض خطر قرار دادن اطلاعات خود قرار دادند. متعاقباً فقط اطلاعات محدودی در مورد باگ معروف به CVE-2022-0732 فاش شد و TechCrunch به دلیل خطر مداومی که برای قربانیان ایجاد می کند، جزئیات این اشکال را مخفی می کند.

با توجه به سادگی این اشکال، بهره برداری عمومی از آن فقط یک موضوع زمان بود.

TheTruthSpy به استارت آپ مستقر در ویتنام، 1Byte مرتبط است

این آخرین مورد از یک رشته از حوادث امنیتی است که شامل TheTruthSpy و در نتیجه صدها هزار نفر از افرادی است که دستگاه‌هایشان در معرض خطر قرار گرفته و اطلاعات آنها به سرقت رفته است.

در ژوئن 2022، منبعی اطلاعات لو رفته حاوی سوابق هر دستگاه اندرویدی را که توسط TheTruthSpy در معرض خطر قرار گرفته است، در اختیار TechCrunch قرار داد. TechCrunch بدون هیچ راهی برای هشدار دادن به قربانیان (و بدون هشدار احتمالی به سوء استفاده کنندگان آنها)، یک ابزار جستجوی جاسوس‌افزار ایجاد کرد تا به هر کسی اجازه دهد خودش تحلیل کند که آیا دستگاه‌هایشان در معرض خطر قرار گرفته‌اند یا خیر.

ابزار جستجو به دنبال مطابقت با فهرست ی از شماره‌های IMEI و شناسه‌های تبلیغاتی است که توسط TheTruthSpy و برنامه‌های شبیه‌سازی آن به خطر افتاده است. TechCrunch همچنین راهنمای نحوه حذف جاسوس‌افزار TheTruthSpy را دارد – در صورتی که انجام این کار ایمن باشد.

اما شیوه‌های امنیتی ضعیف TheTruthSpy و سرورهای لو رفته همچنین به افشای هویت واقعی توسعه‌دهندگانی که در پشت این عملیات بودند، که تلاش‌های زیادی برای پنهان کردن هویت خود انجام داده بودند، کمک کرد.

TechCrunch بعدا متوجه شد که یک استارت آپ مستقر در ویتنام به نام 1Byte پشت TheTruthSpy قرار دارد. تحقیقات ما نشان داد که 1Byte در طول سال‌ها میلیون‌ها دلار درآمد حاصل از عملیات جاسوس‌افزار خود را با قیف کردن پرداخت‌های مشتریان به حساب‌های Stripe و PayPal که با هویت‌های جعلی آمریکایی با استفاده از پاسپورت‌های جعلی ایالات متحده، شماره‌های تامین اجتماعی و سایر اسناد جعلی ایجاد شده‌اند، به دست آورده است.

تحقیقات ما نشان داد که هویت‌های جعلی به حساب‌های بانکی در ویتنام که توسط کارمندان 1Byte و مدیر آن، Van Thieu اداره می‌شود، مرتبط است. در اوج خود، TheTruthSpy بیش از 2 میلیون دلار در پرداخت مشتری به دست آورد.

PayPal و Stripe حساب‌های سازنده نرم‌افزارهای جاسوسی را به دنبال بررسی‌های اخیر از TechCrunch، و همچنین شرکت‌های میزبانی وب مستقر در ایالات متحده که 1Byte برای میزبانی زیرساخت عملیات جاسوس‌افزار و ذخیره بانک‌های وسیع داده‌های تلفن سرقت شده قربانیان استفاده می‌کردند، به حالت تعلیق درآوردند.

پس از اینکه میزبان‌های وب ایالات متحده TheTruthSpy را از شبکه‌های خود راه‌اندازی کردند، عملیات جاسوسی اکنون توسط یک میزبان وب به نام AlexHost که توسط Alexandru Scutaru اداره می‌شود، روی سرورهای مولداوی میزبانی می‌شود که مدعی است سیاست نادیده گرفتن درخواست‌های حذف حق نسخه‌برداری ایالات متحده است.

اگرچه TheTruthSpy دچار مشکل و تحقیر شده است، هنوز به طور فعال نظارت بر هزاران نفر از جمله آمریکایی ها را تسهیل می کند.

تا زمانی که TheTruthSpy آنلاین و عملیاتی است، امنیت و حریم خصوصی قربانیان خود را در گذشته و حال تهدید خواهد کرد. نه تنها به دلیل توانایی این نرم افزارهای جاسوسی برای تهاجم به زندگی دیجیتالی افراد، بلکه به این دلیل که TheTruthSpy نمی تواند داده هایی را که به سرقت می برد از سرریز شدن به اینترنت جلوگیری کند.

در TechCrunch بیشتر بخوانید:

خبرکاو