Eine kurzlebige Spyware-Operation namens Oospy, die Anfang des Jahres nach dem Hackerangriff auf ihren Vorgänger Spyhide entstand, ist nicht mehr betriebsbereit und wurde eingestellt.
Oospy erschien Ende Juli online als Rebranding einer Telefonüberwachungs-App namens Spyhide, die die Überwachung von Zehntausenden Besitzern von Android-Geräten auf der ganzen Welt ermöglichte. Spyhide wurde geschlossen, nachdem ein Sicherheitsverstoß den Betrieb und seine Administratoren aufgedeckt hatte, die davon profitierten.
Obwohl die Website von Spyhide aus dem Internet verschwand, nachdem der Hack den Vorgang zerstört hatte, blieb der Back-End-Server der Spyware online und kommunizierte immer noch mit den Zehntausenden von Telefonen, die er überwachte, da der Server auf einer völlig anderen Domäne gehostet wurde. Dadurch konnten die Administratoren Spyhide in Oospy umbenennen, ohne den Spyware-Vorgang selbst zu beeinträchtigen.
Dieser Back-End-Server, auf dem die gestohlenen Telefondaten des Opfers von Tausenden von Android-Geräten auf der ganzen Welt gespeichert waren, wurde am Donnerstag vom Webhoster Hetzner offline geschaltet, da der Dienst gegen seine Nutzungsbedingungen verstoßen habe.
„Darüber hinaus haben wir den Serververtrag des Kunden fristgerecht gekündigt“, sagte Christian Fitz, Sprecher von Hetzner.
Während sie online waren, hatten Spyhide und Oospy mindestens 60.000 Opfer auf der ganzen Welt, darunter Tausende von Opfern in den Vereinigten Staaten. Diese Stalkerware-Apps (auch Ehepartnerware genannt) werden auf dem Telefon eines Opfers installiert, oft von jemandem, der seinen Passcode kennt. Sobald diese Apps installiert sind, stehlen sie kontinuierlich die Kontakte, Nachrichten, Fotos, Anrufprotokolle und Aufzeichnungen sowie den detaillierten Standortverlauf eines Opfers.
Nach dem Spyhide-Hack identifizierte Tech zwei der Administratoren hinter Spyhide und Oospy. Einer der Administratoren, Mohammad (auch bekannt als Mojtaba) Arasteh, bestätigte gegenüber Tech, dass er „vor einigen Jahren als Programmierer“ an dem Projekt gearbeitet habe, bestritt jedoch eine Beteiligung an Oospy.
Doch ein Fehler auf der Checkout-Seite von Oospy, die PayPal zur Abwicklung von Kundenzahlungen nutzte, enthüllte den Namen des PayPal-Kontoinhabers, der denselben Familiennamen wie Arasteh trägt.
Es ist nicht ungewöhnlich, dass Spyware-Unternehmen sich bei der Abwicklung von Kundenzahlungen auf Zahlungsdienste wie PayPal verlassen, obwohl die Richtlinien von PayPal Kunden weitgehend verbieten, seinen Dienst zum Kauf oder Verkauf von Software zu nutzen, die illegale Aktivitäten wie Spyware erleichtert. PayPal-Sprecherin Caitlin Giroguard äußerte sich nicht zu den Konten, als Tech sie erreichte. Oospy akzeptierte kurze Zeit später keine PayPal-Zahlungen mehr. Es ist jedoch nicht bekannt, ob PayPal gegen das Konto vorgegangen ist.
Als Arasteh von Tech kontaktiert wurde, äußerte er sich nicht zum PayPal-Konto. Kurz nach der Kontaktaufnahme mit Arasteh wurde die Website von Oospy vollständig offline geschaltet.
Das Herunterfahren des Back-End-Servers der Spyware bedeutet vorerst das Ende der Funktionsfähigkeit von Spyhide und Oospy.
Oospy und Spyhide sind die neuesten Telefonüberwachungsoperationen, die in den letzten Monaten aus dem Internet verschwunden sind. Die in Polen hergestellte Stalkerware LetMeSpy wurde nach einem früheren Datenverstoß im Juni abgeschaltet. Und letztes Jahr verschwand eine der größten bekannten Android-Spyware-Apps, SpyTrac, nachdem eine Tech-Untersuchung die Spyware-Operation mit Support King in Verbindung gebracht hatte, das von der FTC nach einem früheren Datenverstoß aus der Überwachungsbranche verbannt wurde.