Сталкери Xnspy шпигували за тисячами iPhone та Android-пристроїв • TechCrunch

Маловідомий телефон Додаток для моніторингу під назвою Xnspy вкрав дані з десятків тисяч пристроїв iPhone і Android, власники більшості з яких не підозрюють, що їхні дані зламані.

Xnspy — це одна з багатьох так званих програм-переслідувачів, які продаються під виглядом того, що вони дозволяють батькам стежити за діяльністю їхньої дитини, але явно продаються для шпигунства за пристроями подружжя чи сімейного партнера без їхнього дозволу. Його веб-сайт може похвалитися: «Щоб зловити зрадливого подружжя, вам потрібен Xnspy на вашому боці» і «Xnspy спрощує для вас створення звітів і отримання даних».

Програми Stalkerware, також відомі як spouseware, таємно встановлюються кимось, хто має фізичний доступ до телефону людини, в обхід засобів захисту на пристрої, і розроблені, щоб залишатися прихованими від головних екранів, що ускладнює їх виявлення. Після встановлення ці програми безшумно й безперервно завантажуватимуть вміст телефону людини, включно з записами дзвінків, текстовими повідомленнями, фотографіями, історією веб-перегляду та точними даними про місцезнаходження, надаючи людині, яка встановила програму, майже повний доступ до даних жертви.

Але нові відкриття показують, що багато додатків сталкерського програмного забезпечення мають недоліки в безпеці та розкривають дані, викрадені з телефонів жертв. Xnspy нічим не відрізняється.

Дослідники безпеки Вангеліс Стікас і Феліпе Сольферіні витратив місяці на декомпіляцію кількох відомих додатків сталкерів та аналіз меж мереж, до яких програми надсилають дані. Їхнє дослідження, представлене цього місяця на BSides London, виявило поширені та легко виявлені недоліки безпеки в кількох сімействах сталкерських програм, включаючи Xnspy, такі як облікові дані та закриті ключі, залишені розробниками в коді, а також пошкоджене або неіснуюче шифрування. У деяких випадках недоліки викривають викрадені дані жертв, які зараз знаходяться на чужих незахищених серверах.

Під час свого дослідження Stykas і Solferini виявили підказки та артефакти, які ідентифікували осіб, які стоять за кожною операцією, але вони відмовилися ділитися подробицями вразливості з операторами сталкерського програмного забезпечення або публічно оприлюднити подробиці про вади, побоюючись, що це принесе користь зловмисним хакерам і далі. завдати шкоди жертвам. Стікас і Сольферіні сказали, що всі виявлені ними недоліки легко використовувати, і вони, ймовірно, існували роками.

Інші увійшли в більш темні юридичні води, використовуючи ці легко виявлені вразливості з очевидною метою викриття операцій сталкерського програмного забезпечення як форми пильності. Величезний кеш внутрішніх даних, отриманих із серверів сталкерського програмного забезпечення TheTruthSpy та його дочірніх програм і переданих TechCrunch на початку цього року, дозволив нам повідомити тисячі жертв, чиї пристрої були зламані.

Після нашого розслідування щодо TheTruthSpy TechCrunch отримав додаткові кеш-пам’яті даних сталкерського програмного забезпечення, зокрема від Xnspy, що розкриває їхні операції та осіб, які отримують прибуток від стеження.

Xnspy рекламує свою програму моніторингу телефону для стеження за дружиною чи партнером. Кредити зображення: TechCrunch (скріншот)

Дані, отримані TechCrunch, показують, що Xnspy має принаймні 60 000 жертв, починаючи з 2014 року, включаючи тисячі нових компрометацій, зареєстрованих нещодавно у 2022 році. Більшість жертв є власниками Android, але Xnspy також має дані, отримані з тисяч iPhone.

Багато додатків для сталкерів створено для Android, оскільки легше встановити шкідливий додаток, ніж на iPhone, де є суворіші обмеження щодо того, які програми можна встановлювати та до яких даних можна отримати доступ. Замість встановлення шкідливого додатка програмне забезпечення для iPhone використовує резервну копію пристрою, яка зберігається в хмарному сховищі Apple iCloud.

З обліковими даними iCloud жертви програмне забезпечення постійно завантажує останню резервну копію iCloud пристрою безпосередньо з серверів Apple без відома власника. Резервні копії iCloud містять більшість даних пристрою людини, що дозволяє програмі-переслідувачу викрасти їхні повідомлення, фотографії та іншу інформацію. Увімкнення двофакторної автентифікації значно ускладнює зловмисникам скомпрометувати обліковий запис людини в Інтернеті.

Дані, які ми бачили, містять понад 10 000 унікальних адрес електронної пошти iCloud і паролів, які використовуються для доступу до даних жертви, які зберігаються в хмарі, хоча багато облікових записів iCloud підключено до кількох пристроїв. З цієї кількості дані містять понад 6600 маркерів автентифікації, які активно використовувалися для вилучення даних пристроїв жертв із хмари Apple, хоча термін дії багатьох із них закінчився. Враховуючи ймовірність постійного ризику для жертв, TechCrunch надав Apple список зламаних облікових даних iCloud перед публікацією.

Отримані нами дані Xnspy були незашифрованими. Він також містив інформацію, яка ще більше викрила розробників Xnspy.

Згідно зі сторінкою LinkedIn, Konext — це невеликий стартап у Лахорі, Пакистан, у якому працює десяток співробітників. На веб-сайті стартапу сказано, що стартап спеціалізується на «спеціальному програмному забезпеченні для компаній, які шукають універсальні рішення», і стверджує, що створив десятки мобільних додатків та ігор.

Konext не рекламує те, що він розробляє та підтримує сталкерське програмне забезпечення Xnspy.

Дані, отримані TechCrunch, включали список імен, адрес електронної пошти та зашифрованих паролів, зареєстрованих виключно для розробників і співробітників Konext для доступу до внутрішніх систем Xnspy.

Кеш також містить облікові дані Xnspy для стороннього постачальника платежів, які прив’язані до електронної адреси провідного системного архітектора Konext, згідно з його LinkedIn, і який, як вважають, є головним розробником операції шпигунського ПЗ. Інші розробники Konext використовували кредитні картки, зареєстровані за їхніми домашніми адресами в Лахорі, для тестування платіжних систем, що використовуються для Xnspy і TrackMyFone, клону Xnspy, також розробленого Konext.

Згідно з даними, деякі співробітники Konext працюють на Кіпрі.

Konext, як і інші розробники сталкерського програмного забезпечення, докладає спільних зусиль, щоб приховати свою діяльність і особи своїх розробників від публічного доступу, щоб захистити себе від юридичних і репутаційних ризиків, пов’язаних зі сприянням масовому прихованому стеженню. Але помилки кодування, залишені власними розробниками Konext, ще більше пов’язують його участь у розробці сталкерського ПЗ.

TechCrunch виявив, що веб-сайт Konext розміщено на тому ж виділеному сервері, що й веб-сайт TrackMyFone; і Serfolet, кіпрська компанія з помітно простим веб-сайтом, яка, за словами Xnspy, обробляє відшкодування від імені своїх клієнтів. На сервері не розміщено інших веб-сайтів.

TechCrunch зв’язався електронною поштою з провідним системним архітектором Konext, щоб отримати коментарі на його електронні адреси Konext і Xnspy. Натомість на наш електронний лист відповіла особа на ім’я Сал, чия адреса електронної пошти Konext також була в даних, але відмовилася надати своє повне ім’я. Сал не заперечував і не заперечував зв’язки компанії з Xnspy у серії електронних листів із TechCrunch, але відмовився від коментарів. Коли його запитали про кількість скомпрометованих пристроїв, Сал підтвердив причетність своєї компанії, сказавши в одному електронному листі, що «наведені вами цифри не збігаються з тими, що ми маємо». На прохання про ясність Сал не став уточнювати.

Xnspy є останньою в довгому списку шкідливих програм-переслідувачів: mSpy, Mobistealth, Flexispy, Family Orbit, KidsGuard і TheTruthSpy усі викрили або скомпрометували дані своїх жертв за останні роки.


Якщо вам або комусь із ваших знайомих потрібна допомога, Національна гаряча лінія домашнього насильства (1-800-799-7233) надає цілодобову безкоштовну конфіденційну підтримку жертвам домашнього насильства та насильства. Якщо ви потрапили в екстрену ситуацію, зателефонуйте за номером 911. Коаліція проти сталкерських програм також має ресурси, якщо ви вважаєте, що ваш телефон зламано шпигунським програмним забезпеченням. Ви можете зв’язатися з цим репортером у Signal і WhatsApp за номером +1 646-755-8849 або електронною поштою zack.whittaker@techcrunch.com.

Детальніше:

Leave a Comment