20 de abril de 2024

O stalkerware Xnspy espionou milhares de iPhones e dispositivos Android

13 de dezembro de 2022

Um aplicativo de monitoramento de telefone pouco conhecido chamado Xnspy roubou dados de dezenas de milhares de iPhones e dispositivos Android, a maioria cujos proprietários não sabem que seus dados foram comprometidos.

O Xnspy é um dos muitos chamados aplicativos de stalkerware vendidos sob o pretexto de permitir que um pai monitore as atividades de seus filhos, mas são explicitamente comercializados para espionar os dispositivos de um cônjuge ou parceiro doméstico sem sua permissão. Seu site se orgulha de “para pegar um cônjuge traidor, você precisa do Xnspy do seu lado” e “o Xnspy torna os relatórios e a extração de dados simples para você”.

Os aplicativos de stalkerware, também conhecidos como “souwareware”, são plantados clandestinamente por alguém com acesso físico ao telefone de uma pessoa, contornando as proteções de segurança do dispositivo, e são projetados para permanecer ocultos nas telas iniciais, o que os torna difíceis de detectar. Depois de instalados, esses aplicativos carregam silenciosa e continuamente o conteúdo do telefone de uma pessoa, incluindo registros de chamadas, mensagens de texto, fotos, histórico de navegação e dados precisos de localização, permitindo que a pessoa que plantou o aplicativo tenha acesso quase completo aos dados da vítima.

Mas novas descobertas mostram que muitos aplicativos de stalkerware estão repletos de falhas de segurança e estão expondo os dados roubados dos telefones das vítimas. O Xnspy não é diferente.

Os pesquisadores de segurança Vangelis Stykas e Felipe Solferini passaram meses descompilando vários aplicativos de stalkerware conhecidos e analisando as bordas das redes para as quais os aplicativos enviam dados. Sua pesquisa, apresentada no BSides London este mês, identificou falhas de segurança comuns e fáceis de encontrar em várias famílias de stalkerware, incluindo o Xnspy, como credenciais e chaves privadas deixadas no código pelos desenvolvedores e criptografia quebrada ou inexistente. Em alguns casos, as falhas estão expondo os dados roubados das vítimas, agora armazenados nos servidores inseguros de outra pessoa.

Durante sua pesquisa, Stykas e Solferini descobriram pistas e artefatos que identificavam os indivíduos por trás de cada operação, mas se recusaram a compartilhar detalhes das vulnerabilidades com os operadores de stalkerware ou divulgar publicamente detalhes sobre as falhas por medo de que isso beneficiasse hackers mal-intencionados e ainda mais prejudicar as vítimas. Stykas e Solferini disseram que todas as falhas encontradas são fáceis de explorar e provavelmente existem há anos.

Outros entraram em águas legais mais obscuras, explorando essas vulnerabilidades fáceis de encontrar com o objetivo aparente de expor as operações de stalkerware como uma forma de vigilantismo. Um enorme cache de dados internos retirados dos servidores do stalkerware TheTruthSpy e de seus aplicativos afiliados e fornecidos ao TechCrunch no início deste ano nos permitiu notificar milhares de vítimas cujos dispositivos foram comprometidos.

Desde nossa investigação sobre o TheTruthSpy, o TechCrunch obteve mais caches de dados de stalkerware, inclusive do Xnspy, expondo suas operações e os indivíduos que lucram com a vigilância.

O site do Xnspy anunciando como seu stalkerware de telefone pode ser usado para espionar o cônjuge ou parceiro de uma pessoa.

O Xnspy anuncia seu aplicativo de monitoramento de telefone para espionar o cônjuge ou parceiro doméstico de uma pessoa. Créditos da imagem: TechCrunch (captura de tela)

Os dados vistos pelo TechCrunch mostram que o Xnspy tem pelo menos 60.000 vítimas desde 2014, incluindo milhares de novos comprometimentos registrados até 2022. A maioria das vítimas são donos de Android, mas o Xnspy também tem dados retirados de milhares de iPhones.

Muitos aplicativos de stalkerware são criados para Android, pois é mais fácil implantar um aplicativo malicioso do que em um iPhone, que tem restrições mais rígidas sobre quais aplicativos podem ser instalados e quais dados podem ser acessados Em vez de plantar um aplicativo malicioso, o stalkerware para iPhones acessa o backup de um dispositivo armazenado no serviço de armazenamento em nuvem iCloud da Apple.

Com as credenciais do iCloud da vítima, o stalkerware baixa continuamente o backup iCloud mais recente do dispositivo diretamente dos servidores da Apple sem o conhecimento do proprietário. Os backups do iCloud contêm a maioria dos dados do dispositivo de uma pessoa, permitindo que o stalkerware roube suas mensagens, fotos e outras informações. Habilitar a autenticação de dois fatores torna muito mais difícil para indivíduos mal-intencionados comprometer a conta online de uma pessoa.

Os dados que vimos contêm mais de 10.000 endereços de e-mail e senhas exclusivos do iCloud usados ​​para acessar os dados armazenados na nuvem da vítima, embora muitas das contas do iCloud estejam conectadas a mais de um dispositivo. Desse número, os dados contêm mais de 6.600 tokens de autenticação, que foram usados ​​ativamente para exfiltrar dados de dispositivos das vítimas da nuvem da Apple, embora muitos tenham expirado. Dada a possibilidade de risco contínuo para as vítimas, o TechCrunch forneceu a lista de credenciais comprometidas do iCloud à Apple antes da publicação.

Os dados do Xnspy que obtivemos não foram criptografados. Também incluiu informações que desmascararam ainda mais os desenvolvedores do Xnspy.

A Konext é uma pequena startup de desenvolvimento em Lahore, Paquistão, administrada por uma dúzia de funcionários, de acordo com sua página no LinkedIn. O site da startup diz que a startup é especializada em “software sob medida para empresas que buscam soluções completas” e afirma ter construído dezenas de aplicativos e jogos móveis.

O que Konext não anuncia é que desenvolve e mantém o stalkerware Xnspy.

Os dados vistos pelo TechCrunch incluíam uma lista de nomes, endereços de e-mail e senhas embaralhadas registradas exclusivamente para desenvolvedores e funcionários da Konext para acessar sistemas internos do Xnspy.

O cache também inclui credenciais Xnspy para um provedor de pagamentos terceirizado vinculado ao endereço de e-mail do principal arquiteto de sistemas da Konext, de acordo com seu LinkedIn, e que se acredita ser o principal desenvolvedor por trás da operação de spyware. Outros desenvolvedores da Konext usaram cartões de crédito registrados em seus próprios endereços residenciais em Lahore para testar os sistemas de pagamento usados ​​para Xnspy e TrackMyFone, um clone do Xnspy também desenvolvido pela Konext.

Alguns dos funcionários da Konext estão localizados no Chipre, mostram os dados.

A Konext, como outros desenvolvedores de stalkerware , faz um esforço conjunto para ocultar suas atividades e manter as identidades de seus desenvolvedores fora do alcance do público, provavelmente para se proteger dos riscos legais e de reputação que acompanham a facilitação da vigilância secreta em grande escala. Mas os erros de codificação deixados pelos próprios desenvolvedores da Konext vinculam ainda mais seu envolvimento no desenvolvimento de stalkerware.

O TechCrunch descobriu que o site da Konext está hospedado no mesmo servidor dedicado que o site do TrackMyFone, bem como da Serfolet, uma entidade com sede em Chipre com um site visivelmente básico, que o Xnspy diz processar reembolsos em nome de seus clientes. Nenhum outro site está hospedado no servidor.

O TechCrunch contatou o principal arquiteto de sistemas da Konext por e-mail para comentar, tanto para seus endereços de e-mail Konext quanto Xnspy. Em vez disso, uma pessoa chamada Sal, cujo endereço de e-mail Konext também estava nos dados, mas se recusou a fornecer seu nome completo, respondeu ao nosso e-mail. Sal não contestou ou negou os links da empresa para o Xnspy em uma série de e-mails com o TechCrunch, mas se recusou a comentar. Quando questionado sobre o número de dispositivos comprometidos, Sal pareceu confirmar o envolvimento de sua empresa, dizendo em um e-mail que “os números que você citou não correspondem aos que temos”. Quando questionado sobre clareza, Sal não deu mais detalhes.

O Xnspy é o mais recente de uma longa lista de aplicativos de stalkerware falhos: mSpy , Mobistealth , Flexispy , Family Orbit , KidsGuard e TheTruthSpy expuseram ou comprometeram os dados de suas vítimas nos últimos anos.

Fonte: https://techcrunch.com/

Matérias Relacionadas

Ex-engenheiro de segurança condenado a 3 anos de prisão por roubo de criptomoedas no valor de US$ 12,3 milhões

15 de abril de 2024

FatalRAT tem como alvo usuários de criptomoeda com técnicas de carregamento lateral de DLL

15 de abril de 2024

Novo ataque Spectre v2 impacta sistemas Linux em CPUs Intel

12 de abril de 2024

Veja mais..

Vendas na Dark Web impulsionam grande aumento em ataques de credenciais

19 de abril de 2024

Falso ‘cheater’ atrai jogadores para espalhar malware infostealer

19 de abril de 2024

Pesquisadores realizam Jailbreak de um dispositivo Cisco para executar DOOM

18 de abril de 2024

Ameaças internas(insiders) aumentam 14% anualmente

18 de abril de 2024

Possíveis hackers chineses usam OpenMetadata para criptominar

18 de abril de 2024