新数据显示,一款名为 Spyhide 的手机监控应用程序正在从全球数以万计的 Android 设备中秘密收集私人手机数据。
Spyhide 是一种广泛使用的跟踪软件(或配偶软件)应用程序,通常是由知道受害者密码的人植入受害者的手机上。
该应用程序旨在隐藏在受害者手机的主屏幕上,使其难以检测和删除。
一旦植入,Spyhide 就会默默地持续上传手机的联系人、消息、照片、通话记录和录音,以及实时的精细位置。
尽管跟踪软件应用程序能够隐秘且广泛地访问受害者的手机数据,但众所周知,跟踪软件应用程序存在缺陷,并且众所周知,它们会泄漏、泄漏或以其他方式使受害者被盗的私人数据面临进一步暴露的风险,从而构成电话监控应用程序带来的风险。
现在,Spyhide 是这个不断增长的列表中最新添加的间谍软件操作。
瑞士黑客 Maia Arson Crimew 在一篇博客文章中表示,间谍软件制造商暴露了其开发环境的一部分,允许访问基于网络的仪表板的源代码,滥用者可以使用该仪表板查看被盗的受害者的电话数据。
通过利用仪表板劣质代码中的漏洞,Crimew 获得了对后端数据库的访问权限,暴露了秘密间谍软件操作的内部运作及其可疑的管理员。
Crimew 提供了 Spyhide 纯文本数据库的副本,以供验证和分析。
多年的手机数据被盗
Spyhide 的数据库包含约 60000 台受感染 Android 设备的详细记录,这些记录可追溯到 2016 年直至 7 月中旬泄露之日。
这些记录包括多年前的通话记录、短信和精确的位置历史记录,以及每个文件的信息,例如拍摄和上传照片或视频的时间、通话记录的时间和时长。
将近两百万个位置数据点输入到离线地理空间和地图软件中,使我们能够可视化并了解间谍软件的全球影响力。
我们的分析显示,Spyhide 的监控网络遍及各大洲,在欧洲和巴西有数千名受害者。
美国有超过 3100 台受感染的设备,仅占全球总数的一小部分,但仅从位置数据的数量来看,这些美国受害者仍然是网络上受监控最严重的受害者之一。
一台受到 Spyhide 攻击的美国设备已悄悄上传了超过 100000 个位置数据点。
Spyhide 跟踪软件在美国地图上收集了数十万个位置数据点。
Spyhide 的数据库还包含 750000 名注册 Spyhide 的用户的记录,这些用户的目的是在受害者的设备上植入间谍软件应用程序。
记录显示,尽管大量用户表明对使用监控应用程序的兴趣不健康,但大多数注册用户并没有继续破坏手机或购买间谍软件。
也就是说,虽然大多数受感染的 Android 设备都是由单个用户控制的,但我们的分析显示,超过 4000 名用户控制着不止一台受感染的设备。
少数用户帐户控制了数十台受感染的设备。
该数据还包括 329 万条短信,其中包含高度个人信息,例如二元代码和密码重置链接;超过 120 万条通话记录,其中包含接听者的电话号码和通话时长,以及约 312000 个通话录音文件;超过 925000 个包含姓名和电话号码的联系人列表;并记录了 382000 张照片和图像。
该数据还包含从受害者手机麦克风秘密录制的近 6000 条环境录音的详细信息。
伊朗制造,德国托管
Spyhide 在其网站上没有提及该操作的运营者或开发地点。
考虑到与销售间谍软件和便利他人监视相关的法律和声誉风险,间谍软件管理员试图隐藏其身份的情况并不少见。
但是,尽管 Spyhide 试图隐瞒管理员的参与,但源代码中包含了两名从该操作中获利的伊朗开发商的名字。
根据与 Spyhide 域名相关的注册记录,其中一名开发人员 Mostafa M.(他的 linkedIn 个人资料显示他目前居住在迪拜)此前与另一位 Spyhide 开发人员 Mohammad A. 居住在伊朗东北部同一个城市。
像 Spyhide 这样的跟踪软件应用程序明确宣传并鼓励秘密配偶监视,已被谷歌应用程序商店禁止。
相反,用户必须从 Spyhide 网站下载间谍软件应用程序。
在虚拟设备上安装了间谍软件应用程序,并使用网络流量分析工具来了解流入和流出设备的数据。
这个虚拟设备意味着我们可以在保护性沙箱中运行该应用程序,而无需向其提供任何真实数据,包括我们的位置。
流量分析显示,该应用程序正在将我们的虚拟设备的数据发送到由德国网络托管巨头 Hetzner 托管的服务器。
Android 间谍软件应用程序通常伪装成看起来正常的 Android 应用程序或进程,因此找到这些应用程序可能很棘手。
Spyhide 伪装成一个名为“Google Settings”的 Google 主题应用程序,带有齿轮图标,或者一个名为“T.Ringtone”的铃声应用程序,带有音符图标。
这两个应用程序都请求访问设备数据的权限,并立即开始将私有数据发送到其服务器。
即使应用程序隐藏在主屏幕上,您也可以通过“设置”中的应用程序菜单检查已安装的应用程序。
该程序旨在在手机主屏幕上不被注意,因此难以检测和删除。
不起眼的 Spyhide 应用程序会持续、不引人注目地实时收集联系人、消息、照片、通话记录和受害者的确切位置。
间谍应用程序通常伪装成常规 Android 应用程序或进程,使其更难以检测。
Spyhide 可以冒充您的 Google 设置应用程序或 T.Ringtone 应用程序。
在获得访问设备数据的权限后,Spyhide 开始向其服务器发送私有数据。
从 Spyhide 数据库中提取的数据包含从 2016 年到今年 7 月中旬大约 60000 台受感染 Android 设备的详细记录。
这些记录包括通话记录、短信、多年的准确位置历史记录,以及每个文件的信息。
例如拍摄和上传照片或视频的时间,以及通话记录的时间和时长。
该数据库还包含超过200 万个位置点。
他们的分析表明,Spyhide 遍布全球各大洲,在欧洲和巴西有数千名受害者。
尽管像 Spyhide 这样的应用程序因其隐秘跟踪能力而被 Google Play 禁止,但用户仍然可以从 Spyhide 的官方网站下载并安装该应用程序。
这是对我如何入侵SpyHide(有时称为缩写 CRT,即他们的 .com 域名)的相当技术性的深入探讨,以及我自己的一些分析。
当我开始制作 #FuckStalkerware 系列时,我首先做了我一直做的事情,扫描超低悬的水果漏洞,没有抱太大期望。因此,当我运行扫描目标列表以查找 .git 暴露时(当通过 git 部署网站但未将网络服务器配置为不提供 .git 目录的内容时会发生这种情况),在各种误报中存在实际命中。使用goop(我最初于 2020 年开发的一种攻击性 git 转储工具),我设法下载了 SpyHide 帐户面板的完整源代码和 git 历史记录。
所以我开始深入研究存储库,首先主要关注找出间谍隐藏的一些背景信息。让我们从一些 git 元数据开始:查看该.git/config文件会发现代码托管在(已存档)github 帐户的私人存储库中。
https://maia.crimew.gay/posts/fuckstalkerware-2/
原文来源:GoUpSec