Un logiciel espion en langue portugaise WebDetetive a été utilisé pour compromettre plus de 76 000 téléphones Android ces dernières années en Amérique du Sud, principalement au Brésil. WebDetetive est également la dernière société de logiciels espions téléphoniques à avoir été piratée ces derniers mois.
Dans une note non datée consultée par TechCrunch, les pirates anonymes ont décrit comment ils ont trouvé et exploité plusieurs vulnérabilités de sécurité qui leur ont permis de compromettre les serveurs de WebDetetive et l’accès à ses bases de données d’utilisateurs. En exploitant d’autres failles dans le tableau de bord Web du fabricant de logiciels espions – utilisé par les agresseurs pour accéder aux données téléphoniques volées de leurs victimes – les pirates ont déclaré avoir énuméré et téléchargé tous les enregistrements du tableau de bord, y compris l’adresse e-mail de chaque client.
Les pirates ont déclaré que l’accès au tableau de bord leur permettait également de supprimer complètement les appareils victimes du réseau de logiciels espions, coupant ainsi la connexion au niveau du serveur pour empêcher l’appareil de télécharger de nouvelles données. « Ce que nous avons définitivement fait. Parce que nous pourrions. Parce que #fuckstalkerware », ont écrit les pirates dans la note.
La note a été incluse dans un cache contenant plus de 1,5 Go de données extraites du tableau de bord Web du logiciel espion. Ces données comprenaient des informations sur chaque client, telles que l’adresse IP à partir de laquelle il s’est connecté et l’historique des achats. Les données répertoriaient également tous les appareils compromis par chaque client, la version du logiciel espion exécutée par le téléphone et les types de données que le logiciel espion collectait sur le téléphone de la victime.
La cache ne contenait pas le contenu volé sur les téléphones des victimes.
DDoSecrets, un collectif de transparence à but non lucratif qui indexe les ensembles de données divulgués et exposés dans l’intérêt public, a reçu les données WebDetetive et les a partagées avec TechCrunch pour analyse.
Au total, les données ont montré que WebDetetive avait compromis 76 794 appareils à ce jour au moment de la violation. Les données contenaient également 74 336 adresses e-mail uniques de clients, bien que WebDetetive ne vérifie pas les adresses e-mail d’un client lors de son inscription, empêchant ainsi toute analyse significative des clients du logiciel espion.
On ne sait pas qui est à l’origine de la faille WebDetetive et les pirates n’ont pas fourni d’informations de contact. TechCrunch n’a pas pu confirmer de manière indépendante l’affirmation des pirates selon laquelle ils avaient supprimé les appareils des victimes du réseau, bien que TechCrunch ait vérifié l’authenticité des données volées en faisant correspondre une sélection d’identifiants d’appareil dans le cache avec un point de terminaison accessible au public sur le serveur de WebDetetive.
WebDetetive est un type d’application de surveillance téléphonique qui est installée sur le téléphone d’une personne sans son consentement, souvent par une personne connaissant le code d’accès du téléphone.
Une fois installée, l’application change d’icône sur l’écran d’accueil du téléphone, ce qui rend le logiciel espion difficile à détecter et à supprimer. WebDetetive commence alors immédiatement à télécharger furtivement le contenu du téléphone d’une personne sur ses serveurs, y compris ses messages, journaux d’appels, enregistrements d’appels téléphoniques, photos, enregistrements ambiants du microphone du téléphone, applications de réseaux sociaux et données de localisation précises en temps réel.
Malgré le large accès dont disposent ces applications dites de « stalkerware » (ou de logiciel pour conjoint) aux données téléphoniques personnelles et sensibles d’une victime, les logiciels espions sont notoirement bogués et connus pour leur codage de mauvaise qualité, qui expose les données déjà volées des victimes à un risque supplémentaire. compromis.
WebDetetive, rencontrez OwnSpy
On sait peu de choses sur WebDetetive au-delà de ses capacités de surveillance. Il n’est pas rare que les créateurs de logiciels espions dissimulent ou obscurcissent leur identité réelle, étant donné les risques de réputation et juridiques liés à la production de logiciels espions et à la facilitation de la surveillance illégale d’autrui. WebDetetive n’est pas différent. Son site Web ne répertorie pas qui possède ou exploite WebDetetive.
Mais même si les données piratées elles-mêmes révèlent peu d’indices sur les administrateurs de WebDetetive, une grande partie de ses racines remontent à OwnSpy, une autre application d’espionnage téléphonique largement utilisée.
TechCrunch a téléchargé l’application WebDetetive Android depuis son site Web (puisque Apple et Google interdisent les applications de stalkerware dans leurs magasins d’applications) et a implanté l’application sur un appareil virtuel, nous permettant ainsi d’analyser l’application dans un bac à sable isolé sans lui fournir de données réelles. comme notre emplacement. Nous avons effectué une analyse du trafic réseau pour comprendre quelles données entraient et sortaient de l’application WebDetetive, qui a révélé qu’il s’agissait d’une copie largement reconditionnée du logiciel espion d’OwnSpy. L’agent utilisateur de WebDetetive, qu’il envoie au serveur pour s’identifier, se faisait toujours référence à lui-même sous le nom de OwnSpy, même s’il téléchargeait les données factices de notre appareil virtuel sur les serveurs de WebDetetive.
Une comparaison de photos côte à côte de WebDetetive (à gauche) et OwnSpy (à droite) fonctionnant sur Android. Crédits images : TechCrunch
OwnSpy est développé en Espagne par Mobile Innovations, une société basée à Madrid et dirigée par Antonio Calatrava. OwnSpy est opérationnel depuis au moins 2010, selon son site Web, et prétend avoir 50 000 clients, même si on ne sait pas combien d’appareils OwnSpy a compromis à ce jour.
OwnSpy exploite également un modèle d’affiliation, permettant à d’autres de toucher une commission en faisant la promotion de l’application ou en proposant « un nouveau produit à vos clients » en échange de la participation d’OwnSpy aux bénéfices, selon une copie archivée du site Web de ses affiliés. On ne sait pas quels autres liens opérationnels, le cas échéant, existent entre OwnSpy et WebDetetive. Calatrava n’a pas renvoyé de demande de commentaire ni fourni les coordonnées des administrateurs de WebDetetive.
Peu de temps après avoir envoyé un e-mail à Calatrava, des parties de l’infrastructure connue d’OwnSpy ont été mises hors ligne. Une analyse distincte du trafic réseau de l’application OwnSpy par TechCrunch a révélé que l’application de logiciel espion OwnSpy était brièvement non fonctionnelle au moment de la publication. L’application WebDetetive continue de fonctionner.
Une attaque destructrice ?
WebDetetive est le deuxième fabricant de logiciels espions à être ciblé par un piratage destructeur de données au cours des derniers mois. LetMeSpy, une application de logiciel espion développée par le développeur polonais Rafal Lidwin, s’est arrêtée à la suite d’un piratage qui a exposé et supprimé les données téléphoniques volées des victimes des serveurs de LetMeSpy. Lidwin a refusé de répondre aux questions sur l’incident.
Selon le décompte de TechCrunch, au moins une douzaine de sociétés de logiciels espions ont exposé, divulgué ou autrement exposé les données téléphoniques volées de leurs victimes au risque d’être davantage compromises en raison d’un codage de mauvaise qualité et de vulnérabilités de sécurité facilement exploitables.
TechCrunch n’a pas pu contacter les administrateurs WebDetetive pour commentaires. Un e-mail envoyé à l’adresse e-mail d’assistance de WebDetetive concernant la violation de données (y compris si l’auteur du logiciel espion dispose de sauvegardes) n’a pas été renvoyé. Il n’est pas clair si l’éditeur du logiciel espion informera les clients ou les victimes de la violation de données, ou s’il dispose toujours des données ou des enregistrements nécessaires pour le faire.
Les attaques destructrices, bien que peu fréquentes, pourraient avoir des conséquences inattendues et dangereuses pour les victimes de logiciels espions. Les logiciels espions alertent généralement l’agresseur si l’application de logiciel espion cesse de fonctionner ou est supprimée du téléphone d’une victime, et la rupture d’une connexion sans plan de sécurité en place pourrait placer les victimes de logiciels espions dans une situation dangereuse. La Coalition Against Stalkerware, qui œuvre pour soutenir les victimes et les survivants de stalkerware, propose des ressources sur son site Web à l’intention de ceux qui soupçonnent que leur téléphone est compromis.
Comment trouver et supprimer WebDetetive
Contrairement à la plupart des applications de surveillance téléphonique, WebDetetive et OwnSpy ne cachent pas leur application sur un écran d’accueil Android, mais se déguisent en application Wi-Fi présentant le système Android.
WebDetetive est relativement facile à détecter. L’application apparaît nommée « WiFi » et présente une icône sans fil blanche dans un cercle bleu sur fond blanc.
Une capture d’écran montrant l’application « WiFi », qui se présente comme une application système Wi-Fi. Cependant, cette application est un logiciel espion déguisé. Crédits images : TechCrunch
Lorsque vous appuyez longuement et que les informations sur l’application sont affichées, l’application s’appelle en fait « Sistema ».
Cette icône d’application « WiFi », lorsque vous appuyez dessus, s’affichera en fait comme une application appelée « Sistema », conçue pour ressembler à une application système Android, mais qui est en réalité un logiciel espion WebDetetive. Crédits images : TechCrunch
Nous disposons d’un guide général qui peut vous aider à supprimer les logiciels espions Android de votre téléphone, si vous pouvez le faire en toute sécurité. Vous devez vous assurer que Google Play Protect est activé, car cette fonctionnalité de sécurité intégrée à l’appareil peut vous défendre contre les applications Android malveillantes. Vous pouvez vérifier son état dans le menu des paramètres de Google Play.
Si vous ou quelqu’un que vous connaissez avez besoin d’aide, la ligne d’assistance nationale contre la violence domestique (1-800-799-7233) fournit une assistance gratuite et confidentielle 24h/24 et 7j/7 aux victimes de violence domestique et de violence. Si vous êtes dans une situation d’urgence, appelez le 911. La Coalition Against Stalkerware dispose également de ressources si vous pensez que votre téléphone a été compromis par un logiciel espion.