Uno spyware brasiliano è stato violato e i dispositivi delle vittime sono stati "cancellati" dal server

Uno spyware in lingua portoghese chiamato WebDetetive è stato utilizzato per compromettere più di 76.000 telefoni Android negli ultimi anni in tutto il Sud America, in gran parte in Brasile.
WebDetetive è anche l'ultima azienda di spyware per telefoni ad essere stata hackerata negli ultimi mesi.
In una nota non datata vista da TechCrunch, gli hacker anonimi hanno descritto come hanno trovato e sfruttato diverse vulnerabilità della sicurezza che hanno permesso loro di compromettere i server di WebDetetive e l'accesso ai suoi database degli utenti.
Sfruttando altre falle nel dashboard web del produttore di spyware – utilizzato dagli autori di abusi per accedere ai dati telefonici rubati delle loro vittime – gli hacker hanno affermato di aver enumerato e scaricato ogni record del dashboard, incluso l'indirizzo e-mail di ogni cliente.
Gli hacker hanno affermato che l'accesso alla dashboard ha consentito loro anche di eliminare del tutto i dispositivi vittima dalla rete spyware, interrompendo di fatto la connessione a livello di server per impedire al dispositivo di caricare nuovi dati.
“Cosa che abbiamo sicuramente fatto.
Perché potremmo.
Perché #fuckstalkerware", hanno scritto gli hacker nella nota.
La nota era inclusa in una cache contenente più di 1,5 gigabyte di dati prelevati dal dashboard web dello spyware.
Tali dati includevano informazioni su ciascun cliente, come l'indirizzo IP da cui ha effettuato l'accesso e la cronologia degli acquisti.
I dati elencavano anche tutti i dispositivi che ciascun cliente aveva compromesso, quale versione dello spyware era in esecuzione sul telefono e i tipi di dati che lo spyware stava raccogliendo dal telefono della vittima.
La cache non includeva i contenuti rubati dai telefoni delle vittime.
DDoSecrets, un collettivo di trasparenza senza scopo di lucro che indicizza set di dati trapelati ed esposti nell'interesse pubblico, ha ricevuto i dati di WebDetetive e li ha condivisi con TechCrunch per l'analisi.
In totale, i dati hanno mostrato che WebDetetive aveva compromesso fino ad oggi 76.794 dispositivi al momento della violazione.
I dati contenevano anche 74.336 indirizzi e-mail univoci di clienti, sebbene WebDetetive non verifichi gli indirizzi e-mail di un cliente al momento della registrazione, impedendo qualsiasi analisi significativa dei clienti dello spyware.
Non è noto chi si celi dietro la violazione di WebDetetive e gli hacker non hanno fornito informazioni di contatto.
TechCrunch non ha potuto confermare in modo indipendente l'affermazione degli hacker di aver eliminato i dispositivi delle vittime dalla rete, sebbene TechCrunch abbia verificato l'autenticità dei dati rubati confrontando una selezione di identificatori del dispositivo nella cache con un endpoint accessibile pubblicamente sul server di WebDetetive.
WebDetetive è un tipo di app di monitoraggio del telefono che viene installata sul telefono di una persona senza il suo consenso, spesso da qualcuno che conosce il codice di accesso del telefono.
Una volta installata, l'app cambia icona nella schermata principale del telefono, rendendo difficile il rilevamento e la rimozione dello spyware.
WebDetetive inizia quindi immediatamente a caricare di nascosto i contenuti del telefono di una persona sui suoi server, inclusi i messaggi, i registri delle chiamate, le registrazioni delle chiamate telefoniche, le foto, le registrazioni ambientali dal microfono del telefono, le app dei social media e i dati sulla posizione precisa in tempo reale.
Nonostante l'ampio accesso che queste app cosiddette "stalkerware" (o coniugeware) hanno ai dati personali e sensibili del telefono della vittima, lo spyware è notoriamente pieno di bug e noto per la sua codifica scadente, che mette a rischio i dati già rubati delle vittime.
compromesso.
WebDetetive, ti presentiamo OwnSpy Poco si sa di WebDetetive oltre alle sue capacità di sorveglianza.
Non è raro che i produttori di spyware nascondano o offuschino la propria identità nel mondo reale, dati i rischi legali e reputazionali che derivano dalla produzione di spyware e dalla facilitazione della sorveglianza illegale di altri.
WebDetetive non è diverso.
Il suo sito web non elenca chi possiede o gestisce WebDetetive.
Ma mentre i dati violati in sé rivelano pochi indizi sugli amministratori di WebDetetive, gran parte delle sue radici possono essere ricondotte a OwnSpy, un'altra app di spionaggio telefonico ampiamente utilizzata.
TechCrunch ha scaricato l'app WebDetetive per Android dal suo sito web (poiché sia Apple che Google vietano le app stalkerware dai loro app store) e ha installato l'app su un dispositivo virtuale, permettendoci di analizzare l'app in un sandbox isolato senza fornirle alcun dato reale, come la nostra posizione.
Abbiamo eseguito un'analisi del traffico di rete per capire quali dati fluivano dentro e fuori dall'app WebDetetive, scoprendo che si trattava di una copia in gran parte riconfezionata dello spyware di OwnSpy.
L'agente utente di WebDetetive, che invia al server per identificarsi, si riferiva ancora a se stesso come OwnSpy, anche se stava caricando i dati fittizi del nostro dispositivo virtuale sui server di WebDetetive.
Un confronto fotografico affiancato di WebDetetive (a sinistra) e OwnSpy (a destra) in esecuzione su Android.
Crediti immagine: TechCrunch OwnSpy è sviluppato in Spagna da Mobile Innovations, una società con sede a Madrid gestita da Antonio Calatrava.
OwnSpy è operativo almeno dal 2010, secondo il suo sito web, e afferma di avere 50.000 clienti, anche se non è noto quanti dispositivi OwnSpy abbia compromesso fino ad oggi.
OwnSpy gestisce anche un modello di affiliazione, consentendo ad altri di guadagnare una commissione promuovendo l'app o offrendo "un nuovo prodotto ai tuoi clienti" in cambio di una riduzione dei profitti da parte di OwnSpy, secondo una copia archiviata del sito web dei suoi affiliati.
Non è chiaro quali altri collegamenti operativi, se presenti, esistano tra OwnSpy e WebDetetive.
Calatrava non ha restituito una richiesta di commento né fornito informazioni di contatto per gli amministratori di WebDetetive.
Poco tempo dopo aver inviato un'e-mail a Calatrava, parti dell'infrastruttura nota di OwnSpy sono andate offline.
Un'analisi separata del traffico di rete dell'app di OwnSpy effettuata da TechCrunch ha rilevato che l'app spyware di OwnSpy non funzionava più.
L'app di WebDetetive continua a funzionare.
Attacco distruttivo? WebDetetive è il secondo produttore di spyware a essere preso di mira da un attacco informatico distruttivo negli ultimi mesi.
LetMeSpy, un'app spyware sviluppata dallo sviluppatore polacco Rafal Lidwin, è stata chiusa a seguito di un hack che ha esposto e cancellato i dati telefonici rubati delle vittime dai server di LetMeSpy.
Lidwin ha rifiutato di rispondere alle domande sull'incidente.
Secondo i calcoli di TechCrunch, negli ultimi anni almeno una dozzina di società di spyware hanno esposto, divulgato o messo in altro modo i dati dei telefoni rubati delle vittime a rischio di ulteriori compromessi a causa di codici scadenti e vulnerabilità di sicurezza facilmente sfruttabili.
TechCrunch non è riuscito a contattare gli amministratori di WebDetetive per un commento.
Un'e-mail inviata all'indirizzo e-mail di supporto di WebDetetive relativa alla violazione dei dati, incluso se il produttore di spyware dispone di backup, non è stata restituita.
Non è chiaro se il produttore di spyware avviserà i clienti o le vittime della violazione dei dati o se dispone ancora dei dati o delle registrazioni per farlo.
Gli attacchi distruttivi, sebbene poco frequenti, potrebbero avere conseguenze indesiderate e pericolose per le vittime di spyware.
Lo spyware in genere avvisa l'autore dell'abuso se l'app spyware smette di funzionare o viene rimossa dal telefono della vittima e l'interruzione di una connessione senza un piano di sicurezza in atto potrebbe mettere le vittime dello spyware in una situazione non sicura.
La Coalition Against Stalkerware, che lavora per supportare le vittime e i sopravvissuti allo stalkerware, ha risorse sul suo sito web per coloro che sospettano che il loro telefono sia compromesso.
Come trovare e rimuovere WebDetetive A differenza della maggior parte delle app di monitoraggio del telefono, WebDetetive e OwnSpy non nascondono la loro app su una schermata iniziale di Android, ma si mascherano invece da app Wi-Fi di presentazione del sistema Android.
WebDetetive è relativamente facile da rilevare.
L'app appare denominata "WiFi" e presenta un'icona wireless bianca in un cerchio blu su sfondo bianco.
Uno screenshot che mostra l'app "WiFi", che si presenta come app Wi-Fi di sistema.
Tuttavia, questa app è uno spyware sotto mentite spoglie.
Crediti immagine: TechCrunch Quando si tocca e si tiene premuto e vengono visualizzate le informazioni sull'app, l'app viene effettivamente chiamata "Sistema".
L'icona dell'app "WiFi", quando viene toccata, verrà effettivamente visualizzata come un'app chiamata "Sistema", progettata per assomigliare a un'app di sistema Android, ma in realtà è uno spyware WebDetetive.
Crediti immagine: TechCrunch Abbiamo una guida generale che può aiutarti a rimuovere lo spyware Android dal tuo telefono, se è sicuro farlo.
Dovresti assicurarti che Google Play Protect sia attivato poiché questa funzionalità di sicurezza sul dispositivo può difenderti da app Android dannose.
Puoi verificarne lo stato dal menu delle impostazioni in Google Play.
Se tu o qualcuno che conosci avete bisogno di aiuto, la National Domestic Violence Hotline (1-800-799-7233) fornisce supporto gratuito e riservato 24 ore su 24, 7 giorni su 7 alle vittime di abusi e violenza domestica.
Se ti trovi in una situazione di emergenza, chiama il 911.
La Coalition Against Stalkerware dispone anche di risorse se ritieni che il tuo telefono sia stato compromesso da spyware.