Un operator de spyware pentru consumatori numit SpyX a fost compromis de o breșă de securitate a datelor anul trecut, a aflat TechCrunch. Încălcarea dezvăluie că SpyX și alte două aplicații mobile conexe aveau înregistrări pentru aproape 2 milioane de persoane la momentul atacului, inclusiv mii de utilizatori Apple.
În acest caz programele spion sau spyware sunt o categorie de software rău intenționat, de sine stătătoare sau atașate la programe gratuite care captează pe ascuns date care vizează utilizatorul unui smartphone cum ar fi locația sa sau date despre utilizarea dispozitivului.
Compromiterea datelor datează din iunie 2024, dar nu a fost raportată anterior și nu există nicio indicație că operatorii SpyX și-au notificat vreodată clienții sau cei vizați de spyware.
Familia de spyware mobil SpyX este acum, cea de-a 25-a operațiune de supraveghere mobilă din 2017 despre care se știe că a suferit o încălcare a datelor sau a expus în alt mod datele victimelor sau ale utilizatorilor, arătând că industria spyware-ului pentru consumatori continuă să prolifereze și să pună în pericol datele private ale oamenilor.
Atacul oferă, de asemenea, o privire rară asupra modului în care stalkerware precum SpyX poate viza și clienții Apple.
Troy Hunt, care conduce site-ul de notificare a încălcării datelor Have I Been Pwned, a primit o copie a datelor încălcate sub forma a două fișiere text, care conțineau 1,97 milioane de înregistrări unice de cont cu adrese de e-mail asociate.
Hunt a spus că marea majoritate a adreselor de e-mail sunt asociate cu SpyX. Cache-ul include, de asemenea, mai puțin de 300.000 de adrese de e-mail asociate cu două clone aproape identice ale aplicației SpyX numite Msafely și SpyPhone.
Aproximativ 40% dintre adresele de e-mail erau deja în Have I Been Pwned, a spus Hunt.
Ca și în cazul atacurilor anterioare de spyware, Hunt a marcat compromiterea datelor SpyX în Have I Been Pwned ca fiind „sensibilă”, ceea ce permite doar persoanei cu o adresă de e-mail afectată să vadă dacă informațiile sale fac parte din acest atac.
Operatorii din spatele SpyX nu au răspuns la e-mailurile de la TechCrunch cu întrebări despre compromiterea datelor, iar un număr WhatsApp afișat pe site-ul SpyX a returnat un mesaj în care spunea că nu a fost înregistrat cu aplicația de mesagerie.
SpyX este vândut ca software de monitorizare mobilă pentru dispozitivele Android și Apple, aparent pentru acordarea controlului parental asupra telefonului unui copil.
Pentru programele malware de supraveghere, cum ar fi SpyX, se mai folosește și termenul stalkerware (și spouseware), deoarece uneori operatorii își promovează în mod explicit produsele ca o modalitate de a spiona un soț sau partener de familie, ceea ce este în general ilegal fără știrea acelei persoane. Chiar și atunci când operatorii nu promovează în mod explicit această utilizare ilegală, aplicațiile spyware au aceleași capacități de furt de date.
Spyware-ul pentru consumatori, cum ar fi stalkerware-ul, funcționează de obicei în unul din două moduri.
Aplicațiile care funcționează pe dispozitive Android, inclusiv SpyX, sunt de obicei descărcate din afara magazinului oficial de aplicații Google Play și necesită o persoană cu acces fizic la dispozitivul unei victime, de obicei care cunoaște codul de acces, pentru a slăbi setările de securitate și a instala programul spyware.
Apple are reguli mai stricte cu privire la aplicațiile care pot fi în App Store și pot rula pe iPhone și iPad-uri, așa că stalkerware-ul accesează de obicei o copie a copiei de rezervă a dispozitivului găsită pe serviciul de stocare în cloud al Apple, iCloud. Cu acreditările iCloud ale unei persoane, stalkerware-ul poate descărca continuu cea mai recentă copie de rezervă a victimei direct de pe serverele Apple. Backup-urile iCloud stochează majoritatea datelor de pe dispozitivul unei persoane, inclusiv mesajele, fotografiile și datele aplicațiilor.
Potrivit lui Hunt, unul dintre cele două fișiere din memoria cache compromisă se referea la iCloud în numele său de fișier și conținea aproximativ 17.000 de seturi distincte de nume de utilizator și parole de cont Apple în text simplu.
Deoarece acreditările iCloud din memoria cache compromisă aparțineau în mod clar clienților Apple, Hunt a căutat să confirme autenticitatea datelor contactând abonații Have I Been Pwned ale căror adrese de e-mail și parole au fost găsite în date ale Contului Apple. Hunt a spus că mai multe persoane au confirmat că informațiile pe care le-a furnizat sunt corecte.
Având în vedere posibilitatea unui risc continuu pentru victimele ale căror acreditări de cont ar putea fi încă valabile, Hunt a furnizat Apple lista de acreditări iCloud compromise înainte de publicare.
Într-o scurtă declarație furnizată după publicare, purtătorul de cuvânt al Apple, Sarah O’Rourke, a declarat pentru TechCrunch: „Atunci când compromiterile de date ale altor companii reprezintă un risc pentru conturile Apple, echipele noastre de securitate lucrează pentru a investiga și a proteja rapid utilizatorii noștri. În acest caz, mai puțin de 250 de utilizatori iCloud au fost afectați și le-am securizat imediat conturile.”
În ceea ce privește restul adreselor de e-mail și parolelor găsite în fișierele text încălcate, a fost mai puțin clar dacă acestea erau acreditări de lucru pentru orice alt serviciu decât SpyX și aplicațiile sale clonate.
Între timp, Google a renunțat la o extensie Chrome legată de campania SpyX.
„Politicile Chrome Web Store și Google Play Store interzic în mod clar codurile rău intenționate, programele spion și stalkerware, iar dacă găsim încălcări, luăm măsurile corespunzătoare. Dacă un utilizator suspectează că Contul său Google a fost compromis, ar trebui să ia imediat măsurile recomandate pentru a-l securiza”, a declarat purtătorul de cuvânt al Google, Ed Fernandez.
Cum să cauți SpyX pe telefonul tău
TechCrunch are un ghid de eliminare a programelor spion pentru utilizatorii de Android, care vă poate ajuta să identificați și să eliminați tipurile comune de aplicații de monitorizare a telefonului. Nu uitați să aveți un plan de siguranță si să contactați autoritățile, dat fiind că oprirea aplicației poate alerta persoana care a plantat-o.
Pentru utilizatorii de Android, pornirea Google Play Protect este o caracteristică de securitate utilă care poate ajuta la protejarea împotriva programelor malware Android, inclusiv a aplicațiilor de supraveghere a telefonului nedorite. Puteți activa Google Play din setările aplicației dacă nu este deja activat.
Conturile Google sunt mult mai protejate cu autentificarea cu doi factori, care poate proteja mai bine împotriva intruziunilor de cont și de date. Aflați ce pași trebuie să faceți dacă contul dvs. Google este compromis.
Dacă aveți un iPhone și iPad, puteți verifica și elimina orice dispozitive din contul dvs. pe care nu le recunoașteți. Ar trebui să vă asigurați că contul dvs. Apple folosește o parolă lungă și unică (în mod ideal salvată într-un manager de parole) și că contul dvs. are, de asemenea, activată autentificarea cu doi factori. De asemenea, ar trebui să schimbați parola iPhone sau iPad dacă credeți că cineva v-a compromis fizic dispozitivul.
