隱藏在手機中的隱形間諜軟件已被泄露
新數據顯示,一款名為 Spyhide 的手機監控應用程序正在從全球數以萬計的 Android 設備中秘密收集私人手機數據。
Spyhide 是一種廣泛使用的跟蹤軟件(或配偶軟件)應用程序,通常是由知道受害者密碼的人植入受害者的手機上。
該應用程序旨在隱藏在受害者手機的主屏幕上,使其難以檢測和刪除。
一旦植入,Spyhide 就會默默地持續上傳手機的聯系人、消息、照片、通話記錄和錄音,以及實時的精細位置。
盡管跟蹤軟件應用程序能夠隱秘且廣泛地訪問受害者的手機數據,但眾所周知,跟蹤軟件應用程序存在缺陷,并且眾所周知,它們會泄漏、泄漏或以其他方式使受害者被盜的私人數據面臨進一步暴露的風險,從而構成電話監控應用程序帶來的風險。
現在,Spyhide 是這個不斷增長的列表中最新添加的間諜軟件操作。
瑞士黑客 Maia Arson Crimew 在一篇博客文章中表示,間諜軟件制造商暴露了其開發環境的一部分,允許訪問基于網絡的儀表板的源代碼,濫用者可以使用該儀表板查看被盜的受害者的電話數據。
通過利用儀表板劣質代碼中的漏洞,Crimew 獲得了對后端數據庫的訪問權限,暴露了秘密間諜軟件操作的內部運作及其可疑的管理員。
Crimew 提供了 Spyhide 純文本數據庫的副本,以供驗證和分析。
多年的手機數據被盜
Spyhide 的數據庫包含約 60000 臺受感染 Android 設備的詳細記錄,這些記錄可追溯到 2016 年直至 7 月中旬泄露之日。
這些記錄包括多年前的通話記錄、短信和精確的位置歷史記錄,以及每個文件的信息,例如拍攝和上傳照片或視頻的時間、通話記錄的時間和時長。
將近兩百萬個位置數據點輸入到離線地理空間和地圖軟件中,使我們能夠可視化并了解間諜軟件的全球影響力。
我們的分析顯示,Spyhide 的監控網絡遍及各大洲,在歐洲和巴西有數千名受害者。
美國有超過 3100 臺受感染的設備,僅占全球總數的一小部分,但僅從位置數據的數量來看,這些美國受害者仍然是網絡上受監控最嚴重的受害者之一。
一臺受到 Spyhide 攻擊的美國設備已悄悄上傳了超過 100000 個位置數據點。
Spyhide 跟蹤軟件在美國地圖上收集了數十萬個位置數據點。
Spyhide 的數據庫還包含 750000 名注冊 Spyhide 的用戶的記錄,這些用戶的目的是在受害者的設備上植入間諜軟件應用程序。
記錄顯示,盡管大量用戶表明對使用監控應用程序的興趣不健康,但大多數注冊用戶并沒有繼續破壞手機或購買間諜軟件。
也就是說,雖然大多數受感染的 Android 設備都是由單個用戶控制的,但我們的分析顯示,超過 4000 名用戶控制著不止一臺受感染的設備。
少數用戶帳戶控制了數十臺受感染的設備。
該數據還包括 329 萬條短信,其中包含高度個人信息,例如二元代碼和密碼重置鏈接;超過 120 萬條通話記錄,其中包含接聽者的電話號碼和通話時長,以及約 312000 個通話錄音文件;超過 925000 個包含姓名和電話號碼的聯系人列表;并記錄了 382000 張照片和圖像。
該數據還包含從受害者手機麥克風秘密錄制的近 6000 條環境錄音的詳細信息。
伊朗制造,德國托管
Spyhide 在其網站上沒有提及該操作的運營者或開發地點。
考慮到與銷售間諜軟件和便利他人監視相關的法律和聲譽風險,間諜軟件管理員試圖隱藏其身份的情況并不少見。
但是,盡管 Spyhide 試圖隱瞞管理員的參與,但源代碼中包含了兩名從該操作中獲利的伊朗開發商的名字。
根據與 Spyhide 域名相關的注冊記錄,其中一名開發人員 Mostafa M.(他的 LinkedIn 個人資料顯示他目前居住在迪拜)此前與另一位 Spyhide 開發人員 Mohammad A. 居住在伊朗東北部同一個城市。
像 Spyhide 這樣的跟蹤軟件應用程序明確宣傳并鼓勵秘密配偶監視,已被谷歌應用程序商店禁止。
相反,用戶必須從 Spyhide 網站下載間諜軟件應用程序。
在虛擬設備上安裝了間諜軟件應用程序,并使用網絡流量分析工具來了解流入和流出設備的數據。
這個虛擬設備意味著我們可以在保護性沙箱中運行該應用程序,而無需向其提供任何真實數據,包括我們的位置。
流量分析顯示,該應用程序正在將我們的虛擬設備的數據發送到由德國網絡托管巨頭 Hetzner 托管的服務器。
Android 間諜軟件應用程序通常偽裝成看起來正常的 Android 應用程序或進程,因此找到這些應用程序可能很棘手。
Spyhide 偽裝成一個名為“Google Settings”的 Google 主題應用程序,帶有齒輪圖標,或者一個名為“T.Ringtone”的鈴聲應用程序,帶有音符圖標。
這兩個應用程序都請求訪問設備數據的權限,并立即開始將私有數據發送到其服務器。
即使應用程序隱藏在主屏幕上,您也可以通過“設置”中的應用程序菜單檢查已安裝的應用程序。
該程序旨在在手機主屏幕上不被注意,因此難以檢測和刪除。
不起眼的 Spyhide 應用程序會持續、不引人注目地實時收集聯系人、消息、照片、通話記錄和受害者的確切位置。
間諜應用程序通常偽裝成常規 Android 應用程序或進程,使其更難以檢測。
Spyhide 可以冒充您的 Google 設置應用程序或 T.Ringtone 應用程序。
在獲得訪問設備數據的權限后,Spyhide 開始向其服務器發送私有數據。
從 Spyhide 數據庫中提取的數據包含從 2016 年到今年 7 月中旬大約 60000 臺受感染 Android 設備的詳細記錄。
這些記錄包括通話記錄、短信、多年的準確位置歷史記錄,以及每個文件的信息。
例如拍攝和上傳照片或視頻的時間,以及通話記錄的時間和時長。
該數據庫還包含超過200 萬個位置點。
他們的分析表明,Spyhide 遍布全球各大洲,在歐洲和巴西有數千名受害者。
盡管像 Spyhide 這樣的應用程序因其隱秘跟蹤能力而被 Google Play 禁止,但用戶仍然可以從 Spyhide 的官方網站下載并安裝該應用程序。
這是對我如何入侵SpyHide(有時稱為縮寫 CRT,即他們的 .com 域名)的相當技術性的深入探討,以及我自己的一些分析。
當我開始制作 #FuckStalkerware 系列時,我首先做了我一直做的事情,掃描超低懸的水果漏洞,沒有抱太大期望。因此,當我運行掃描目標列表以查找 .git 暴露時(當通過 git 部署網站但未將網絡服務器配置為不提供 .git 目錄的內容時會發生這種情況),在各種誤報中存在實際命中。使用goop(我最初于 2020 年開發的一種攻擊性 git 轉儲工具),我設法下載了 SpyHide 帳戶面板的完整源代碼和 git 歷史記錄。
所以我開始深入研究存儲庫,首先主要關注找出間諜隱藏的一些背景信息。讓我們從一些 git 元數據開始:查看該.git/config文件會發現代碼托管在(已存檔)github 帳戶的私人存儲庫中。
