Une surveillance téléphonique L’application appelée Spyhide collecte furtivement des données téléphoniques privées à partir de dizaines de milliers d’appareils Android à travers le monde, selon de nouvelles données.
Spyhide est une application de stalkerware (ou de conjoint) largement utilisée qui est implantée sur le téléphone d’une victime, souvent par une personne connaissant son code d’accès. L’application est conçue pour rester masquée sur l’écran d’accueil du téléphone de la victime, ce qui la rend difficile à détecter et à supprimer. Une fois planté, Spyhide télécharge silencieusement et continuellement les contacts, les messages, les photos, les journaux d’appels et les enregistrements du téléphone, ainsi que l’emplacement granulaire en temps réel.
Malgré leur furtivité et leur large accès aux données téléphoniques d’une victime, les applications de stalkerware sont notoirement boguées et sont connues pour renverser, fuir ou autrement exposer davantage les données privées volées des victimes, ce qui sous-tend les risques que posent les applications de surveillance téléphonique.
Maintenant, Spyhide est la dernière opération de logiciel espion ajoutée à cette liste croissante.
Le pirate informatique basé en Suisse maia arson crimew a déclaré dans un article de blog que le fabricant de logiciels espions avait exposé une partie de son environnement de développement, permettant l’accès au code source du tableau de bord Web que les agresseurs utilisent pour afficher les données téléphoniques volées de leurs victimes. En exploitant une vulnérabilité dans le code de mauvaise qualité du tableau de bord, crimew a eu accès aux bases de données principales, exposant le fonctionnement interne de l’opération de logiciel espion secret et ses administrateurs présumés.
Crimew a fourni à TechCrunch une copie de la base de données textuelle de Spyhide pour vérification et analyse.
Des années de données téléphoniques volées
La base de données de Spyhide contenait des enregistrements détaillés d’environ 60 000 appareils Android compromis, remontant à 2016 jusqu’à la date d’exfiltration à la mi-juillet. Ces enregistrements comprenaient des journaux d’appels, des messages texte et un historique de localisation précis remontant à des années, ainsi que des informations sur chaque fichier, comme le moment où une photo ou une vidéo a été prise et téléchargée, et quand les appels ont été enregistrés et pendant combien de temps.
TechCrunch a introduit près de deux millions de points de données de localisation dans un logiciel géospatial et de cartographie hors ligne, nous permettant de visualiser et de comprendre la portée mondiale du logiciel espion.
Notre analyse montre que le réseau de surveillance de Spyhide s’étend sur tous les continents, avec des groupes de milliers de victimes en Europe et au Brésil. Les États-Unis comptent plus de 3 100 appareils compromis, une fraction du nombre total dans le monde, mais ces victimes américaines sont toujours parmi les victimes les plus surveillées sur le réseau par la seule quantité de données de localisation. Un appareil américain compromis par Spyhide avait discrètement téléchargé plus de 100 000 points de données de localisation.
La base de données de Spyhide contenait également des enregistrements sur 750 000 utilisateurs qui se sont inscrits à Spyhide avec l’intention de planter l’application de logiciel espion sur l’appareil d’une victime.
Bien que le nombre élevé d’utilisateurs suggère un appétit malsain pour l’utilisation d’applications de surveillance, la plupart des utilisateurs qui se sont inscrits n’ont pas compromis un téléphone ou payé pour le logiciel espion, selon les enregistrements.
Cela dit, alors que la plupart des appareils Android compromis étaient contrôlés par un seul utilisateur, notre analyse a montré que plus de 4 000 utilisateurs contrôlaient plus d’un appareil compromis. Un plus petit nombre de comptes d’utilisateurs contrôlaient des dizaines d’appareils compromis.
Les données comprenaient également 3,29 millions de SMS contenant des informations hautement personnelles, telles que des codes à deux facteurs et des liens de réinitialisation de mot de passe ; plus de 1,2 million de journaux d’appels contenant les numéros de téléphone du destinataire et la durée de l’appel, plus environ 312 000 fichiers d’enregistrement d’appels ; plus de 925 000 listes de contacts contenant des noms et des numéros de téléphone ; et enregistre 382 000 photos et images. Les données contenaient également des détails sur près de 6 000 enregistrements ambiants enregistrés furtivement à partir du microphone du téléphone de la victime.
Fabriqué en Iran, hébergé en Allemagne
Sur son site Web, Spyhide ne fait aucune référence à qui dirige l’opération ou où elle a été développée. Compte tenu des risques juridiques et de réputation associés à la vente de logiciels espions et à la surveillance d’autrui, il n’est pas rare que les administrateurs de logiciels espions tentent de cacher leur identité.
Mais alors que Spyhide tentait de dissimuler l’implication de l’administrateur, le code source contenait le nom de deux développeurs iraniens qui profitent de l’opération. L’un des développeurs, Mostafa M., dont le profil LinkedIn indique qu’il se trouve actuellement à Dubaï, vivait auparavant dans la même ville du nord-est de l’Iran que l’autre développeur de Spyhide, Mohammad A., selon les enregistrements d’enregistrement associés aux domaines de Spyhide.
Les développeurs n’ont pas répondu à plusieurs e-mails demandant des commentaires.
Les applications de stalkerware comme Spyhide, qui annoncent et encouragent explicitement la surveillance secrète du conjoint, sont interdites sur l’App Store de Google. Au lieu de cela, les utilisateurs doivent télécharger l’application de logiciel espion à partir du site Web de Spyhide.
TechCrunch a installé l’application de logiciel espion sur un appareil virtuel et a utilisé un outil d’analyse du trafic réseau pour comprendre quelles données entraient et sortaient de l’appareil. Cet appareil virtuel signifiait que nous pouvions exécuter l’application dans un bac à sable protecteur sans lui donner de données réelles, y compris notre emplacement. L’analyse du trafic a montré que l’application envoyait les données de notre appareil virtuel à un serveur hébergé par le géant allemand de l’hébergement Web Hetzner.
Lorsqu’il a été contacté pour commenter, le porte-parole de Hetzner, Christian Fitz, a déclaré à TechCrunch que l’hébergeur n’autorisait pas l’hébergement de logiciels espions.
Ce que tu peux faire
Les applications de logiciels espions Android sont souvent déguisées en une application ou un processus Android d’apparence normale, il peut donc être difficile de trouver ces applications. Spyhide se fait passer pour une application sur le thème de Google appelée « Paramètres Google » avec une icône de rouage, ou une application de sonnerie appelée « T.Ringtone » avec une icône de note de musique. Les deux applications demandent l’autorisation d’accéder aux données d’un appareil et commencent immédiatement à envoyer des données privées à ses serveurs.
Vous pouvez vérifier vos applications installées via le menu des applications dans les paramètres, même si l’application est masquée sur l’écran d’accueil.
Nous avons un guide général qui peut vous aider à supprimer les logiciels espions Android, si vous pouvez le faire en toute sécurité. N’oubliez pas que la désactivation des logiciels espions alertera probablement la personne qui les a installés.
L’activation de Google Play Protect est une protection utile qui protège contre les applications Android malveillantes, comme les logiciels espions. Vous pouvez l’activer à partir du menu des paramètres de Google Play.
Si vous ou quelqu’un que vous connaissez avez besoin d’aide, la National Domestic Violence Hotline (1-800-799-7233) fournit un soutien gratuit et confidentiel 24h/24 et 7j/7 aux victimes de violence domestique. Si vous êtes dans une situation d’urgence, appelez le 911. La Coalition Against Stalkerware dispose également de ressources si vous pensez que votre téléphone a été compromis par un logiciel espion.