.
Uma vulnerabilidade de segurança em um par de aplicativos de monitoramento por telefone está expondo os dados pessoais de milhões de pessoas que têm os aplicativos instalados involuntariamente em seus dispositivos, de acordo com um pesquisador de segurança que encontrou a falha.
O bug permite que qualquer pessoa acesse os dados pessoais – mensagens, fotos, logs de chamadas e muito mais – exfiltrados de qualquer telefone ou tablet comprometidos por cocospy e spyic, dois aplicativos de perseguição móvel de marca de maneira diferente que compartilham amplamente o mesmo código -fonte. O bug também expõe os endereços de email das pessoas que se inscreveram no cocospy e no Spyic com a intenção de plantar o aplicativo no dispositivo de alguém para monitorá -los secretamente.
Assim como outros tipos de spyware, produtos como cocospy e spyic são projetados para permanecer ocultos no dispositivo de uma vítima, enquanto carregam de forma secreta e continuamente o upload dos dados de seus dispositivos para um painel visível pela pessoa que plantou o aplicativo. Por natureza de como os spyware furtivos podem ser furtivos, a maioria dos proprietários de telefones provavelmente não sabe que seus dispositivos foram comprometidos.
Os operadores de Cocospy e Spyic não retornaram o pedido de comentário da Strong The One, nem consertaram o bug no momento da publicação.
O bug é relativamente simples de explorar. Como tal, o Strong The One não está publicando detalhes específicos da vulnerabilidade, de modo a não ajudar os maus atores a explorá -lo e a expor ainda mais os dados pessoais sensíveis de indivíduos cujos dispositivos já foram comprometidos por cocospy e spyic.
O pesquisador de segurança que encontrou o bug disse ao Strong The One que permite que qualquer pessoa acesse o endereço de e-mail da pessoa que se inscreveu em qualquer um dos dois aplicativos de monitoramento por telefone.
O pesquisador coletou 1,81 milhão de endereços de email de clientes da Cocospy e 880.167 endereços de email de clientes espiáticos, explorando o bug para raspar os dados dos servidores dos aplicativos. O pesquisador forneceu o cache de endereços de email para Troy Hunt, que executa o serviço de notificação de violação de dados Eu fui pwned.
Hunt disse ao Strong The One que ele carregou um total combinado de 2,65 milhões de endereços de e -mail exclusivos registrados com cocospy e spyic para ter sido pwned, depois que ele removeu endereços de email duplicados que apareceram em ambos os lotes de dados. Hunt disse que, assim como nas violações de dados anteriores relacionadas ao spyware, o cache cocospy e spyic é marcado como “sensível”. Em Eu fui pwned, o que significa que apenas a pessoa com um endereço de e -mail afetado pode pesquisar para ver se suas informações estão lá.
Cocospy e Spyic são os mais recentes de uma longa lista de produtos de vigilância que experimentaram contratempos de segurança nos últimos anos, geralmente como resultado de bugs ou práticas de segurança ruins. Pela contagem de execução da Strong The One, Cocospy e Spyic estão agora entre as 23 operações de vigilância conhecidas desde 2017, que foram invadidas, violadas ou expostas de outra forma, os dados altamente sensíveis dos clientes e vítimas on -line.
Aplicativos de monitoramento por telefone como Cocospy e Spyic são normalmente vendidos como aplicativos de controle dos pais ou monitoramento de funcionários, mas são frequentemente chamados de Stalkerware (ou Spouseware), pois alguns desses produtos promovem expressamente seus aplicativos online como um meio de espionar o cônjuge de uma pessoa ou parceiro romântico sem o seu conhecimento, o que é ilegal. Mesmo no caso de aplicativos de vigilância móvel que não são explicitamente comercializados por atividades nefastas, geralmente os clientes ainda usam esses aplicativos para fins ostensivamente ilegais.
Os aplicativos STALKERWARE são proibidos das lojas de aplicativos e, portanto, geralmente são baixados diretamente do provedor de stalkerware. Como resultado, os aplicativos Stalkerware geralmente exigem acesso físico ao dispositivo Android de alguém a ser plantado, geralmente com o conhecimento prévio da senha do dispositivo da vítima. No caso de iPhones e iPads, o Stalkerware pode explorar os dados de uma pessoa armazenados no Serviço de Armazenamento em Cloud da Apple, o ICLoud, o que requer o uso de suas credenciais de conta roubadas da Apple.
Stalkerware com um nexo da China
Pouco se sabe sobre essas duas operações de spyware, incluindo quem administra cocospy e spyic. Os operadores de perseguição geralmente tentam evitar a atenção do público, dados os riscos de reputação e a reputação que combinam com operações de vigilância em execução.
A Cocospy and Spyic foi lançada em 2018 e 2019, respectivamente. Somente pelo número de usuários registrados, o cocospy é uma das maiores operações de perseguição conhecidas hoje.
Os pesquisadores de segurança Vangelis Stykas e Felipe Solferini, que analisaram várias famílias de perseguição Como parte de um projeto de pesquisa de 2022encontrou evidências que ligam a operação de cocospy e spyic a 711.icu, um desenvolvedor de aplicativos móveis com sede na China, cujo site não carrega mais.
Nesta semana, o Strong The One instalou os aplicativos Cocospy e Spyic em um dispositivo virtual (que nos permite executar os aplicativos em uma caixa de areia segura sem fornecer a qualquer um dos serviços de espionagem quaisquer dados do mundo real, como a nossa localização). Ambos os aplicativos StalkerWare se disfarçam de um aplicativo de “serviço de sistema” de aparência não descrita para Android, que parece evitar a detecção, misturando-se com os aplicativos internos do Android.
Utilizamos uma ferramenta de análise de rede para assistir a dados que fluem dentro e fora do aplicativo para entender como as operações de spyware funcionam, quais dados são compartilhados e onde os servidores estão localizados.
Nossa análise de tráfego descobriu que o aplicativo estava enviando os dados de nosso dispositivo virtual via CloudFlare, um provedor de segurança de rede que ofusca a verdadeira localização do mundo real e o host da web das operações de spyware. Mas alguns dos tráfego da Web mostraram que os dois aplicativos de perseguição estavam enviando dados de algumas vítimas, como fotos, para um servidor de armazenamento em nuvem hospedado nos serviços da Amazon Web.
Nem a Amazon nem Cloudflare responderam às perguntas da Strong The One sobre as operações de StalkerWare.
A análise também mostrou que, ao usar o aplicativo, o servidor respondia ocasionalmente com mensagens de status ou erro em chinês, sugerindo que os aplicativos são desenvolvidos por alguém com um nexo na China.
O que você pode fazer para remover o stalkerware
Os endereços de email raspados de Cocospy e Spyic permitem que qualquer pessoa que plantou os aplicativos determine se suas informações (e os dados da vítima) estavam comprometidos. Mas os dados não contêm informações identificáveis suficientes para notificar indivíduos cujos telefones são comprometidos.
No entanto, há coisas que você pode fazer para verificar se o seu telefone está comprometido por cocospy e spyic. Como a maioria dos stalkerware, esses dois aplicativos dependem de uma pessoa enfraquecendo deliberadamente as configurações de segurança em um dispositivo Android para plantar os aplicativos – ou no caso de iPhones e iPads, acessando a conta da Apple de uma pessoa com o conhecimento de seu nome de usuário e senha.
Embora o cocospy e o Spyic tentem se esconder, aparecendo como um aplicativo de aparência genérica chamada “Serviço do Sistema”, existem maneiras de identificá-los.
Com cocospy e spyic, você geralmente pode entrar ✱✱001✱✱ No teclado do aplicativo Android Thone e, em seguida, pressione o botão “Call” para fazer com que os aplicativos Stalkerware apareçam na tela-se forem instalados. Este é um recurso embutido em cocospy e spyic para permitir que a pessoa que plantou o aplicativo no dispositivo da vítima recupere o acesso. Nesse caso, o recurso também pode ser usado pela vítima para determinar se o aplicativo está instalado.
Você também pode verificar os aplicativos instalados no menu Aplicativos no menu Android Configurações, mesmo que o aplicativo esteja oculto da exibição.
O Strong The One possui um guia geral de remoção de spyware do Android que pode ajudá -lo a identificar e remover tipos comuns de stalkerware de telefone. Lembre -se de ter um plano de segurança em vigordado que a desligamento do spyware pode alertar a pessoa que o plantou.
Para usuários do Android, ligando Google Play Protect é uma salvaguarda útil que pode proteger contra aplicativos Android maliciosos, incluindo Stalkerware. Você pode ativá -lo no menu Configurações do Google Play, se ele ainda não estiver ativado.
E para usuários de iPhone e iPad que pensam que você pode estar comprometido, você deve verificar se sua conta da Apple usa uma senha longa e exclusiva (idealmente salva em um gerenciador de senhas) e se sua conta também possui Autenticação de dois fatores ligada. Você também deve verificar e Remova todos os dispositivos da sua conta que você não reconhece.
Se você ou alguém que você conhece precisa de ajuda, a linha direta nacional da Violência Doméstica (1-800-799-7233) fornece apoio confidencial e gratuito e confidencial 24 horas por dia, 7 dias por semana, às vítimas de abuso e violência doméstica. Se você estiver em uma situação de emergência, ligue para o 911. Coalizão contra Stalkerware tem recursos se você acha que seu telefone foi comprometido pelo Spyware.
Entre em contato com Zack Whittaker com segurança no sinal e no WhatsApp em +1 646-755-8849. Você também pode compartilhar documentos com segurança com o Strong The One viaSegurado.
.
