Eine Spyware für Endverbraucher Die Operation namens „TheTruthSpy“ stellt ein anhaltendes Sicherheits- und Datenschutzrisiko für Tausende von Menschen dar, deren Android-Geräte unwissentlich mit ihren mobilen Überwachungs-Apps kompromittiert werden, nicht zuletzt aufgrund einer einfachen Sicherheitslücke, die ihre Betreiber nie behoben haben.
Jetzt haben zwei Hackergruppen unabhängig voneinander die Schwachstelle entdeckt, die den Massenzugriff auf die gestohlenen Mobilgerätedaten der Opfer direkt von den Servern von TheTruthSpy aus ermöglicht.
In der Schweiz ansässiger Hacker Maia Brandstiftung Crimew sagte in einem Blogbeitrag dass die Hackergruppen SiegedSec und ByteMeCrew den Fehler im Dezember 2023 identifiziert und ausgenutzt haben. Auch Crimew, der von ByteMeCrew einen Cache mit den Opferdaten von TheTruthSpy erhalten hat beschrieb die Entdeckung mehrerer neuer Sicherheitslücken im Software-Stack von TheTruthSpy.
SPYWARE-SUCHE-TOOL
Hier können Sie überprüfen, ob Ihr Android-Telefon oder -Tablet kompromittiert wurde.
Crimew stellte Tech einige der gehackten TheTruthSpy-Daten zur Überprüfung und Analyse zur Verfügung, darunter die eindeutigen Geräte-IMEI-Nummern und Werbe-IDs von Zehntausenden Android-Telefonen, die kürzlich von TheTruthSpy kompromittiert wurden. Tech hat die Echtheit der neuen Daten überprüft, indem es einige der IMEI-Nummern und Werbe-IDs mit einer Liste früherer Geräte abgeglichen hat, von denen bekannt ist, dass sie von TheTruthSpy kompromittiert wurden, wie bei einer früheren Tech-Untersuchung festgestellt wurde.
Der neueste Datenstapel umfasst die Android-Gerätekennungen aller von TheTruthSpy bis einschließlich Dezember 2023 kompromittierten Telefone und Tablets. Die Daten zeigen, dass TheTruthSpy weiterhin große Gruppen von Opfern in Europa, Indien, Indonesien, den Vereinigten Staaten und den USA aktiv ausspioniert Vereinigtes Königreich und anderswo.
Tech hat die neuesten eindeutigen Kennungen – etwa 50.000 neue Android-Geräte – zu unserem kostenlosen Spyware-Suchtool hinzugefügt, mit dem Sie überprüfen können, ob Ihr Android-Gerät von TheTruthSpy kompromittiert wurde.
Sicherheitslücke in TheTruthSpy hat die Gerätedaten der Opfer offengelegt
Eine Zeit lang war TheTruthSpy eine der produktivsten Apps zur Erleichterung der geheimen Überwachung mobiler Geräte.
TheTruthSpy gehört zu einer Flotte nahezu identischer Android-Spyware-Apps, darunter Copy9 und iSpyoo und andere, die heimlich von jemandem, der normalerweise ihren Passcode kennt, auf dem Gerät einer Person installiert werden. Diese Apps werden „Stalkerware“ oder „Ehepartnerware“ genannt, da sie Personen, häufig Ehepartner, ohne deren Wissen illegal verfolgen und überwachen können.
Apps wie TheTruthSpy sind so konzipiert, dass sie auf dem Startbildschirm verborgen bleiben, was es schwierig macht, diese Apps zu identifizieren und zu entfernen, während gleichzeitig die Inhalte des Telefons eines Opfers kontinuierlich auf ein Dashboard hochgeladen werden, das für den Täter sichtbar ist.
Doch während TheTruthSpy seine leistungsstarken Überwachungsfähigkeiten anpries, schenkte die Spyware-Operation der Sicherheit der gestohlenen Daten kaum Beachtung.
Im Rahmen einer Untersuchung von Spyware-Apps für Verbraucher im Februar 2022 stellte Tech fest, dass TheTruthSpy und seine Klon-Apps eine gemeinsame Schwachstelle aufweisen, die die auf den Servern von TheTruthSpy gespeicherten Telefondaten des Opfers offenlegt. Der Fehler ist besonders schädlich, da er äußerst einfach auszunutzen ist und uneingeschränkten Fernzugriff auf alle vom Android-Gerät eines Opfers gesammelten Daten ermöglicht, einschließlich Textnachrichten, Fotos, Anrufaufzeichnungen und präziser Echtzeit-Standortdaten.
Aber die Betreiber von TheTruthSpy haben den Fehler nie behoben, so dass die Opfer dem Risiko ausgesetzt waren, dass ihre Daten noch weiter gefährdet werden. Nur begrenzte Informationen über den Fehler, bekannt als CVE-2022-0732wurde anschließend offengelegt, und Tech hält aufgrund des anhaltenden Risikos, das er für die Opfer darstellt, weiterhin Details zu dem Fehler zurück.
Angesichts der Einfachheit des Fehlers war seine öffentliche Ausnutzung nur eine Frage der Zeit.
TheTruthSpy ist mit dem in Vietnam ansässigen Startup 1Byte verbunden
Dies ist der jüngste in einer Reihe von Sicherheitsvorfällen im Zusammenhang mit TheTruthSpy und damit auch Hunderttausenden Menschen, deren Geräte kompromittiert wurden und deren Daten gestohlen wurden.
Im Juni 2022 stellte eine Quelle Tech durchgesickerte Daten zur Verfügung, die Aufzeichnungen aller Android-Geräte enthielten, die jemals von TheTruthSpy kompromittiert wurden. Da Tech keine Möglichkeit hatte, die Opfer zu warnen (und ohne potenziell die Täter zu alarmieren), hat es ein Spyware-Suchtool entwickelt, mit dem jeder selbst überprüfen kann, ob seine Geräte kompromittiert wurden.
Das Suchtool sucht nach Übereinstimmungen mit einer Liste von IMEI-Nummern und Werbe-IDs, die bekanntermaßen von TheTruthSpy und seinen Klon-Apps kompromittiert wurden. Tech bietet auch eine Anleitung zum Entfernen der TheTruthSpy-Spyware – sofern dies sicher ist.
Aber die schlechten Sicherheitspraktiken und die undichten Server von TheTruthSpy trugen auch dazu bei, die realen Identitäten der hinter der Operation stehenden Entwickler offenzulegen, die erhebliche Anstrengungen unternommen hatten, um ihre Identitäten zu verbergen.
Tech fand später heraus, dass ein in Vietnam ansässiges Startup namens 1Byte hinter TheTruthSpy steckt. Unsere Untersuchung ergab, dass 1Byte im Laufe der Jahre durch seine Spyware-Operationen Einnahmen in Millionenhöhe erzielt hat, indem Kundenzahlungen auf Stripe- und PayPal-Konten weitergeleitet wurden, die unter falschen amerikanischen Identitäten und mit gefälschten US-Pässen, Sozialversicherungsnummern und anderen gefälschten Dokumenten eingerichtet wurden.
Unsere Untersuchung ergab, dass die falschen Identitäten mit Bankkonten in Vietnam in Verbindung standen, die von 1Byte-Mitarbeitern und seinem Direktor Van Thieu geführt wurden. In seiner Blütezeit erzielte TheTruthSpy Kundenzahlungen in Höhe von über 2 Millionen US-Dollar.
PayPal und Stripe haben die Konten des Spyware-Herstellers nach jüngsten Anfragen von Tech gesperrt, ebenso wie die in den USA ansässigen Webhosting-Unternehmen, die 1Byte zum Hosten der Infrastruktur des Spyware-Unternehmens und zum Speichern der riesigen Datenbanken mit den gestohlenen Telefondaten der Opfer nutzte.
Nachdem die US-amerikanischen Webhoster TheTruthSpy aus ihren Netzwerken gebootet haben, wird die Spyware-Aktion nun auf Servern in Moldawien von einem Webhoster namens AlexHost gehostet, der von Alexandru Scutaru betrieben wird und behauptet, dass er urheberrechtlich geschützte Deaktivierungsanfragen aus den USA ignoriert.
Obwohl TheTruthSpy behindert und degradiert wird, erleichtert es immer noch aktiv die Überwachung Tausender Menschen, darunter auch Amerikaner.
Solange TheTruthSpy online und betriebsbereit bleibt, wird es die Sicherheit und Privatsphäre seiner Opfer in Vergangenheit und Gegenwart gefährden. Nicht nur wegen der Fähigkeit der Spyware, in das digitale Leben einer Person einzudringen, sondern auch, weil TheTruthSpy nicht verhindern kann, dass die gestohlenen Daten ins Internet gelangen.
Lesen Sie mehr auf Tech: