Португальское шпионское ПО под названием WebDetetive за последние годы заразил свыше 76 000 Android-устройств, преимущественно в Южной Америке и Бразилии. Недавно этот программный продукт стал жертвой хакеров.
Хакеры раскрыли детали того, как им удалось взломать серверы WebDetetive и получить доступ к базам данных разработчика приложения. Они также утверждают, что отключили устройства жертв от сети, блокируя загрузку новых данных. Хакеры публично выразили свою позицию по поводу “сталкерского” ПО, используя хештег “#fuckstalkerware”.
DDoSecrets , некоммерческая организация по обеспечению прозрачности, которая индексирует утекшие и раскрытые наборы данных в общественных интересах, получила данные WebDetetive и поделилась ими для анализа.
Анализ показал, что WebDetetive заразил 76,794 устройства и имеет базу из 74,336 уникальных email-адресов клиентов.
WebDetetive – это специализированное приложение, которое без ведома пользователя собирает информацию с телефона, такую как сообщения, звонки, фотографии и местоположение.
После установки приложение меняет свой значок на главном экране телефона, что затрудняет шпионского ПО. Затем WebDetetive немедленно начинает скрытно загружать содержимое телефона человека на свои серверы, включая сообщения, журналы вызовов, записи телефонных звонков, фотографии, записи окружающей среды с микрофона телефона, приложения социальных сетей и точные данные о местоположении в реальном времени.
Следует отметить, что шпионские программы часто содержат ошибки и известны своим некачественным кодом, что подвергает уже украденные данные жертв риску дальнейшего взлома.
Интересный момент: большая часть кода WebDetetive очень похожа на код другого шпионского приложения – OwnSpy, разработанного в Испании. Связь между этими двумя приложениями до конца не ясна.
WebDetetive — второй производитель шпионского ПО, подвергшийся за последние месяцы хакерской атаке, разрушающей данные. LetMeSpy, шпионское приложение, разработанное польским разработчиком Рафалем Лидвином, закрылось после взлома , в результате которого были обнаружены и удалены украденные данные телефонов жертв с серверов LetMeSpy.
Разрушительные атаки, хотя и нечастые, могут иметь непредвиденные и опасные последствия для жертв шпионского ПО. Шпионское ПО обычно предупреждает злоумышленника, если следящее приложение перестает работать или удаляется с телефона жертвы, а разрыв соединения без плана безопасности может подвергнуть жертву шпионского ПО дальшейшему преследованию. Коалиция против сталкерского ПО , которая занимается поддержкой жертв и выживших после сталкерского ПО, на своем веб-сайте размещает информацию для тех, кто подозревает, что их телефон взломан.
В отличие от большинства приложений для мониторинга телефона, WebDetetive и OwnSpy не скрывают свое приложение на главном экране Android, а вместо этого маскируются под приложение Wi-Fi, представляющее систему Android.
WebDetetive относительно легко обнаружить. Приложение называется «WiFi» и имеет белый значок беспроводной связи в синем круге на белом фоне.
Источник: SecurityLab