Tüketici sınıfı bir casus yazılım TheTruthSpy adlı operasyon, özellikle operatörlerinin hiçbir zaman düzeltmediği basit bir güvenlik kusuru nedeniyle, mobil gözetim uygulamalarıyla Android cihazları farkında olmadan tehlikeye atılan binlerce kişi için devam eden bir güvenlik ve gizlilik riski oluşturuyor.
Artık iki bilgisayar korsanlığı grubu, kurbanların çalınan mobil cihaz verilerine doğrudan TheTruthSpy sunucularından toplu erişime izin veren kusuru bağımsız olarak buldu.
İsviçre merkezli hacker maia kundakçılıkcrimw bir blog yazısında şunları söyledi SiegedSec ve ByteMeCrew bilgisayar korsanlığı gruplarının Aralık 2023’te kusuru tespit edip kullandıklarını söyledi. TheTruthSpy’ın kurban verilerinin önbelleği ByteMeCrew’dan kendisine verilen Crimew de birkaç yeni güvenlik açığı bulduğunu açıkladı TheTruthSpy’ın yazılım yığınında.
SPYWARE ARAMA ARACI
Android telefonunuzun veya tabletinizin güvenliğinin ihlal edilip edilmediğini buradan kontrol edebilirsiniz.
Crimew, doğrulama ve analiz için TechCrunch’a, yakın zamanda TheTruthSpy tarafından tehlikeye atılan on binlerce Android telefonun benzersiz cihaz IMEI numaralarını ve reklam kimliklerini içeren, ihlal edilen TheTruthSpy verilerinin bir kısmını sağladı. TechCrunch, daha önceki bir TechCrunch araştırması sırasında keşfedilen, TheTruthSpy tarafından ele geçirildiği bilinen önceki cihazların listesiyle bazı IMEI numaralarını ve reklam kimliklerini eşleştirerek yeni verilerin gerçek olduğunu doğruladı.
En son veriler, Aralık 2023’e kadar TheTruthSpy tarafından ele geçirilen her telefon ve tabletin Android cihaz tanımlayıcılarını içeriyor. Veriler, TheTruthSpy’ın Avrupa, Hindistan, Endonezya, Amerika Birleşik Devletleri ve ABD’deki büyük kurban kümelerini aktif olarak gözetlemeye devam ettiğini gösteriyor. Birleşik Krallık ve başka yerlerde.
TechCrunch, Android cihazınızın TheTruthSpy tarafından ele geçirilip geçirilmediğini kontrol etmenizi sağlayan ücretsiz casus yazılım arama aracımıza en yeni benzersiz tanımlayıcıları (yaklaşık 50.000 yeni Android cihazı) ekledi.
TheTruthSpy’daki güvenlik hatası kurbanların cihaz verilerini açığa çıkardı
TheTruthSpy bir süre için gizli mobil cihaz gözetimini kolaylaştıran en verimli uygulamalardan biriydi.
TheTruthSpy, Copy9 ve iSpyoo ve diğerleri de dahil olmak üzere, genellikle şifrelerini bilen biri tarafından bir kişinin cihazına gizlice yerleştirilen, neredeyse aynı Android casus yazılım uygulamalarından oluşan bir filodan biridir. Bu uygulamalara, insanları, çoğunlukla da eşlerini, bilgileri olmadan yasa dışı bir şekilde izleme ve takip etme yeteneklerinden dolayı “takip yazılımı” veya “eş yazılımı” adı verilmektedir.
TheTruthSpy gibi uygulamalar ana ekranlarda gizli kalacak şekilde tasarlanmıştır, bu da bu uygulamaların tanımlanmasını ve kaldırılmasını zorlaştırır ve bu arada kurbanın telefonunun içeriğini istismarcı tarafından görüntülenebilen bir kontrol paneline sürekli olarak yükler.
Ancak TheTruthSpy güçlü gözetleme yeteneklerini öne çıkarırken, casus yazılım operasyonu çaldığı verilerin güvenliğine çok az dikkat etti.
TechCrunch, Şubat 2022’de tüketici sınıfı casus yazılım uygulamalarına yönelik bir soruşturmanın parçası olarak, TheTruthSpy ve klon uygulamalarının, kurbanın TheTruthSpy sunucularında depolanan telefon verilerini açığa çıkaran ortak bir güvenlik açığını paylaştığını keşfetti. Bu hata özellikle zarar verici çünkü istismar edilmesi son derece kolay ve kurbanın Android cihazından toplanan, kısa mesajları, fotoğrafları, çağrı kayıtları ve kesin gerçek zamanlı konum verileri dahil tüm verilere sınırsız uzaktan erişim sağlıyor.
Ancak TheTruthSpy’ın arkasındaki operatörler hatayı asla düzeltmedi ve kurbanlarının verilerinin daha da tehlikeye girmesine maruz kaldı. Hata hakkında yalnızca sınırlı bilgi, CVE-2022-0732 olarak bilinirdaha sonra ifşa edildi ve TechCrunch, kurbanlara yönelik devam eden risk nedeniyle hatanın ayrıntılarını saklamaya devam ediyor.
Hatanın basitliği göz önüne alındığında, kamuya açık olarak kullanılması yalnızca bir zaman meselesiydi.
TheTruthSpy, Vietnam merkezli startup 1Byte ile bağlantılı
Bu, TheTruthSpy’ın ve dolayısıyla cihazları ele geçirilen ve verileri çalınan yüz binlerce kişinin dahil olduğu bir dizi güvenlik olayının sonuncusu.
Haziran 2022’de bir kaynak, TechCrunch’a TheTruthSpy tarafından ele geçirilen her Android cihazın kayıtlarını içeren sızdırılmış verileri sağladı. Mağdurları uyarmanın hiçbir yolu olmayan (ve istismarcıları potansiyel olarak uyarmadan), TechCrunch herkesin cihazlarının güvenliğinin ihlal edilip edilmediğini kendi başına kontrol etmesine olanak tanıyan bir casus yazılım arama aracı geliştirdi.
Arama aracı, TheTruthSpy ve klon uygulamaları tarafından ele geçirildiği bilinen IMEI numaraları ve reklam kimlikleri listesindeki eşleşmeleri arar. TechCrunch’ta ayrıca TheTruthSpy casus yazılımının nasıl kaldırılacağına dair bir kılavuz da bulunmaktadır (eğer güvenliyse).
Ancak TheTruthSpy’ın zayıf güvenlik uygulamaları ve sızdıran sunucuları, aynı zamanda, kimliklerini gizlemek için büyük çaba harcayan operasyonun arkasındaki geliştiricilerin gerçek dünyadaki kimliklerinin ortaya çıkmasına da yardımcı oldu.
TechCrunch daha sonra TheTruthSpy’ın arkasında 1Byte adlı Vietnam merkezli bir girişimin olduğunu buldu. Araştırmamız, 1Byte’ın casus yazılım operasyonundan yıllar içinde müşteri ödemelerini sahte ABD pasaportları, Sosyal Güvenlik numaraları ve diğer sahte belgeler kullanılarak sahte Amerikan kimlikleri altında oluşturulan Stripe ve PayPal hesaplarına aktararak milyonlarca dolar elde ettiğini ortaya çıkardı.
Araştırmamız, sahte kimliklerin 1Byte çalışanları ve yöneticisi Van Thieu tarafından Vietnam’da yönetilen banka hesaplarıyla bağlantılı olduğunu ortaya çıkardı. TheTruthSpy zirve noktasında müşteri ödemelerinden 2 milyon doların üzerinde para kazandı.
PayPal ve Stripe, TechCrunch’tan gelen son soruşturmaların ardından casus yazılım üreticisinin hesaplarını askıya aldı; 1Byte’ın casus yazılım operasyonunun altyapısını barındırmak ve kurbanların çalınan telefon verilerini içeren geniş bankaları depolamak için kullandığı ABD merkezli web barındırma şirketleri de aynısını yaptı.
ABD’li web sunucuları TheTruthSpy’ı kendi ağlarından başlattıktan sonra, casus yazılım operasyonu artık Moldova’daki sunucularda, ABD’nin telif hakkı nedeniyle yayından kaldırma taleplerini göz ardı etme politikasını iddia eden Alexandru Scutaru tarafından yönetilen AlexHost adlı bir web sunucusu tarafından barındırılıyor.
TheTruthSpy, aksamış ve bozulmuş olmasına rağmen hâlâ Amerikalılar da dahil olmak üzere binlerce insanın gözetlenmesini aktif olarak kolaylaştırıyor.
Çevrimiçi ve çalışır durumda kaldığı sürece TheTruthSpy, geçmişteki ve şimdiki kurbanlarının güvenliğini ve mahremiyetini tehdit edecek. Bunun nedeni yalnızca casus yazılımın bir kişinin dijital yaşamını istila edebilmesi değil, aynı zamanda TheTruthSpy’ın çaldığı verilerin internete yayılmasını engelleyememesidir.
TechCrunch’ta daha fazlasını okuyun: