Un logiciel espion grand public L’opération appelée TheTruthSpy présente un risque permanent en matière de sécurité et de confidentialité pour des milliers de personnes dont les appareils Android sont sans le savoir compromis avec ses applications de surveillance mobile, notamment en raison d’une simple faille de sécurité que ses opérateurs n’ont jamais corrigée.
Aujourd’hui, deux groupes de hackers ont découvert indépendamment la faille qui permet l’accès massif aux données des appareils mobiles volés des victimes directement depuis les serveurs de TheTruthSpy.
La hackeuse suisse Maia Arson Crimew a déclaré dans un article de blog que les groupes de piratage SiegedSec et ByteMeCrew avaient identifié et exploité la faille en décembre 2023. Crimew, qui a reçu un cache des données des victimes de TheTruthSpy de ByteMeCrew, a également décrit avoir découvert plusieurs nouvelles vulnérabilités de sécurité dans La pile logicielle de TheTruthSpy.
OUTIL DE RECHERCHE DE SPYWARE
Vous pouvez vérifier si votre téléphone ou tablette Android a été compromis ici.
Dans un article sur Telegram, SiegedSec et ByteMeCrew ont déclaré qu’ils ne divulgueraient pas publiquement les données piratées, compte tenu de leur nature très sensible.
Crimew a fourni à TechCrunch certaines des données TheTruthSpy violées à des fins de vérification et d’analyse, qui comprenaient les numéros IMEI uniques des appareils et les identifiants publicitaires de dizaines de milliers de téléphones Android récemment compromis par TheTruthSpy.
TechCrunch a vérifié que les nouvelles données sont authentiques en faisant correspondre certains numéros IMEI et identifiants publicitaires avec une liste d’appareils précédents connus pour être compromis par TheTruthSpy, comme découvert lors d’une enquête antérieure de TechCrunch.
Le dernier lot de données comprend les identifiants d’appareil Android de chaque téléphone et tablette compromis par TheTruthSpy jusqu’en décembre 2023 inclus. Les données montrent que TheTruthSpy continue d’espionner activement de grands groupes de victimes en Europe, en Inde, en Indonésie, aux États-Unis, aux États-Unis. Royaume-Uni et ailleurs.
TechCrunch a ajouté les derniers identifiants uniques (environ 50 000 nouveaux appareils Android) à notre outil gratuit de recherche de logiciels espions qui vous permet de vérifier si votre appareil Android a été compromis par TheTruthSpy.
Un bug de sécurité dans TheTruthSpy a exposé les données des appareils des victimes
Pendant un certain temps, TheTruthSpy était l’une des applications les plus prolifiques pour faciliter la surveillance secrète des appareils mobiles.
TheTruthSpy fait partie d’une flotte d’applications de logiciels espions Android presque identiques, notamment Copy9 et iSpyoo et d’autres, qui sont furtivement installées sur l’appareil d’une personne par une personne connaissant généralement son code d’accès. Ces applications sont appelées « stalkerware » ou « spuseware » en raison de leur capacité à suivre et à surveiller illégalement des personnes, souvent des conjoints, à leur insu.
Des applications comme TheTruthSpy sont conçues pour rester cachées sur les écrans d’accueil, ce qui rend ces applications difficiles à identifier et à supprimer, tout en téléchargeant en permanence le contenu du téléphone d’une victime sur un tableau de bord visible par l’agresseur.
Mais alors que TheTruthSpy vantait ses puissantes capacités de surveillance, l’opération de logiciel espion accordait peu d’attention à la sécurité des données qu’elle volait.
Dans le cadre d’une enquête sur les applications de logiciels espions grand public en février 2022, TechCrunch a découvert que TheTruthSpy et ses applications clones partagent une vulnérabilité commune qui expose les données téléphoniques de la victime stockées sur les serveurs de TheTruthSpy. Le bug est particulièrement dommageable car il est extrêmement facile à exploiter et permet un accès à distance illimité à toutes les données collectées sur l’appareil Android d’une victime, y compris ses messages texte, ses photos, ses enregistrements d’appels et ses données de localisation précises en temps réel.
Mais les opérateurs derrière TheTruthSpy n’ont jamais corrigé le bug, exposant les victimes à un risque de voir leurs données encore plus compromises. Seules des informations limitées sur le bug, connu sous le nom de CVE-2022-0732, ont ensuite été divulguées, et TechCrunch continue de dissimuler les détails du bug en raison du risque continu qu’il représente pour les victimes.
Compte tenu de la simplicité du bug, son exploitation publique n’était qu’une question de temps.
TheTruthSpy lié à la startup basée au Vietnam, 1Byte
Il s’agit du dernier d’une série d’incidents de sécurité impliquant TheTruthSpy et, par extension, des centaines de milliers de personnes dont les appareils ont été compromis et dont les données ont été volées.
En juin 2022, une source a fourni à TechCrunch des données divulguées contenant des enregistrements de chaque appareil Android jamais compromis par TheTruthSpy. Sans aucun moyen d’alerter les victimes (et sans potentiellement alerter leurs agresseurs), TechCrunch a créé un outil de recherche de logiciels espions pour permettre à quiconque de vérifier par lui-même si ses appareils étaient compromis.
L’outil de recherche recherche des correspondances avec une liste de numéros IMEI et d’identifiants publicitaires connus pour avoir été compromis par TheTruthSpy et ses applications clones. TechCrunch propose également un guide sur la façon de supprimer le logiciel espion TheTruthSpy – si cela est sûr.
Mais les mauvaises pratiques de sécurité de TheTruthSpy et les fuites sur les serveurs ont également contribué à révéler l’identité réelle des développeurs derrière l’opération, qui avaient déployé des efforts considérables pour dissimuler leur identité.
TechCrunch a découvert plus tard qu’une startup basée au Vietnam appelée 1Byte était derrière TheTruthSpy. Notre enquête a révélé que 1Byte a gagné des millions de dollars au fil des années grâce à ses opérations de logiciels espions en canalisant les paiements des clients vers des comptes Stripe et PayPal créés sous de fausses identités américaines en utilisant de faux passeports américains, numéros de sécurité sociale et autres documents falsifiés.
Notre enquête a révélé que les fausses identités étaient liées à des comptes bancaires au Vietnam gérés par les employés de 1Byte et son directeur, Van Thieu. À son apogée, TheTruthSpy a effectué plus de 2 millions de dollars de paiements clients.
PayPal et Stripe ont suspendu les comptes du fabricant de logiciels espions à la suite de récentes enquêtes de TechCrunch, tout comme les sociétés d’hébergement Web basées aux États-Unis que 1Byte utilisait pour héberger l’infrastructure de l’opération de logiciel espion et stocker les vastes banques de données téléphoniques volées des victimes.
Après que les hébergeurs Web américains ont démarré TheTruthSpy à partir de leurs réseaux, l’opération de logiciel espion est désormais hébergée sur des serveurs en Moldavie par un hébergeur appelé AlexHost, dirigé par Alexandru Scutaru, qui revendique une politique consistant à ignorer les demandes de retrait des droits d’auteur des États-Unis.
Bien que entravé et dégradé, TheTruthSpy facilite toujours activement la surveillance de milliers de personnes, y compris des Américains.
Tant qu’il restera en ligne et opérationnel, TheTruthSpy menacera la sécurité et la vie privée de ses victimes, passées et présentes. Non seulement en raison de la capacité du logiciel espion à envahir la vie numérique d’une personne, mais aussi parce que TheTruthSpy ne peut pas empêcher les données qu’il vole de se répandre sur Internet.
En savoir plus sur TechCrunch :