يكشف المتسللون عن ضحايا جدد لبرنامج Stalkerware TheTruthSpy: هل تم اختراق جهاز Android الخاص بك؟

برنامج تجسس على مستوى المستهلك تشكل العملية التي يطلق عليها TheTruthSpy خطرًا مستمرًا على الأمن والخصوصية لآلاف الأشخاص الذين تعرضت أجهزتهم التي تعمل بنظام Android للاختراق دون قصد من خلال تطبيقات مراقبة الهاتف المحمول الخاصة بها، لأسباب ليس أقلها عيب أمني بسيط لم يصلحه مشغلوها مطلقًا.

الآن، اكتشفت مجموعتان من القرصنة بشكل مستقل الخلل الذي يسمح بالوصول الجماعي إلى بيانات الأجهزة المحمولة المسروقة للضحايا مباشرة من خوادم TheTruthSpy.

قال الهاكر Maia Arson Crimew، ومقره سويسرا، في منشور على مدونة إن مجموعتي القرصنة SiegedSec وByteMeCrew حددتا واستغلتا الخلل في ديسمبر 2023. كما وصف Crimew، الذي حصل على ذاكرة تخزين مؤقت لبيانات ضحايا TheTruthSpy من ByteMeCrew، العثور على العديد من الثغرات الأمنية الجديدة في مكدس برامج TheTruthSpy.

وفي منشور على Telegram، قالت SiegedSec وByteMeCrew إنهما لا ينشران البيانات المخترقة علنًا نظرًا لطبيعتها الحساسة للغاية.

زودت Crimew موقع TechCrunch ببعض بيانات TheTruthSpy التي تم اختراقها للتحقق والتحليل، والتي تضمنت أرقام IMEI الفريدة للأجهزة ومعرفات الإعلانات لعشرات الآلاف من هواتف Android التي تم اختراقها مؤخرًا بواسطة TheTruthSpy.

تحققت TechCrunch من صحة البيانات الجديدة من خلال مطابقة بعض أرقام IMEI ومعرفات الإعلانات مع قائمة الأجهزة السابقة المعروفة باختراقها بواسطة TheTruthSpy كما تم اكتشافها خلال تحقيق TechCrunch سابق.

تتضمن أحدث مجموعة من البيانات معرفات أجهزة Android لكل هاتف وجهاز لوحي تم اختراقه بواسطة TheTruthSpy حتى ديسمبر 2023. وتظهر البيانات أن TheTruthSpy يواصل التجسس بنشاط على مجموعات كبيرة من الضحايا في جميع أنحاء أوروبا والهند وإندونيسيا والولايات المتحدة والولايات المتحدة. المملكة المتحدة، وأماكن أخرى.

أضافت TechCrunch أحدث المعرفات الفريدة – حوالي 50000 جهاز Android جديد – إلى أداة البحث المجانية عن برامج التجسس التي تتيح لك التحقق مما إذا كان جهاز Android الخاص بك قد تم اختراقه بواسطة TheTruthSpy.

كشف خطأ أمني في TheTruthSpy عن بيانات أجهزة الضحايا

لبعض الوقت، كان TheTruthSpy واحدًا من أكثر التطبيقات إنتاجًا لتسهيل المراقبة السرية للأجهزة المحمولة.

يعد TheTruthSpy أحد أسطول تطبيقات التجسس شبه المتطابقة لنظام Android، بما في ذلك Copy9 وiSpyoo وغيرهما، والتي يتم زرعها خلسة على جهاز الشخص بواسطة شخص لديه معرفة برمز المرور الخاص به. تُسمى هذه التطبيقات “برامج الملاحقة” أو “برامج الأزواج” لقدرتها على تتبع الأشخاص ومراقبتهم بشكل غير قانوني، وغالبًا ما يكون الأزواج، دون علمهم.

تم تصميم تطبيقات مثل TheTruthSpy لتظل مخفية على الشاشات الرئيسية، مما يجعل من الصعب التعرف على هذه التطبيقات وإزالتها، مع استمرار تحميل محتويات هاتف الضحية إلى لوحة التحكم التي يمكن للمعتدي مشاهدتها.

ولكن في حين روج TheTruthSpy لقدراته القوية في المراقبة، فإن عملية التجسس لم تهتم كثيرًا بأمن البيانات التي كانت تسرقها.

كجزء من التحقيق في تطبيقات برامج التجسس المخصصة للمستهلكين في فبراير 2022، اكتشف موقع TechCrunch أن TheTruthSpy وتطبيقاته المستنسخة تشترك في ثغرة أمنية مشتركة تكشف بيانات هاتف الضحية المخزنة على خوادم TheTruthSpy. يعد هذا الخطأ ضارًا بشكل خاص لأنه من السهل للغاية استغلاله، ويمنح وصولاً غير مقيد عن بعد إلى جميع البيانات التي تم جمعها من جهاز Android الخاص بالضحية، بما في ذلك الرسائل النصية والصور وتسجيلات المكالمات وبيانات الموقع الدقيقة في الوقت الفعلي.

لكن المشغلين الذين يقفون وراء TheTruthSpy لم يقوموا أبدًا بإصلاح الخلل، مما ترك ضحاياه عرضة لمزيد من اختراق بياناتهم. تم الكشف لاحقًا عن معلومات محدودة فقط حول الخطأ، المعروف باسم CVE-2022-0732، وتواصل TechCrunch حجب تفاصيل الخطأ بسبب الخطر المستمر الذي يشكله على الضحايا.

ونظرًا لبساطة الثغرة، فإن استغلالها العام كان مجرد مسألة وقت.

تم ربط TheTruthSpy بشركة 1Byte الناشئة في فيتنام

هذا هو الأحدث في سلسلة من الحوادث الأمنية التي تتعلق بـ TheTruthSpy، وبالتالي مئات الآلاف من الأشخاص الذين تعرضت أجهزتهم للاختراق وسرقة بياناتهم.

في يونيو 2022، زود أحد المصادر موقع TechCrunch ببيانات مسربة تحتوي على سجلات لكل جهاز يعمل بنظام Android تم اختراقه بواسطة TheTruthSpy. مع عدم وجود وسيلة لتنبيه الضحايا (وبدون تنبيه المعتدين عليهم)، قامت TechCrunch ببناء أداة بحث عن برامج التجسس للسماح لأي شخص بالتحقق بنفسه إذا تعرضت أجهزته للاختراق.

تبحث أداة البحث عن المطابقات مقابل قائمة أرقام IMEI ومعرفات الإعلانات المعروفة بأنها تعرضت للاختراق بواسطة TheTruthSpy وتطبيقاتها المستنسخة. يحتوي TechCrunch أيضًا على دليل حول كيفية إزالة برامج التجسس TheTruthSpy — إذا كان القيام بذلك آمنًا.

لكن ممارسات TheTruthSpy الأمنية الضعيفة والخوادم المتسربة ساعدت أيضًا في الكشف عن الهويات الحقيقية للمطورين الذين يقفون وراء العملية، والذين بذلوا جهودًا كبيرة لإخفاء هوياتهم.

اكتشفت TechCrunch لاحقًا أن شركة ناشئة مقرها فيتنام تسمى 1Byte تقف وراء TheTruthSpy. توصل تحقيقنا إلى أن شركة 1Byte حققت ملايين الدولارات على مر السنين من عائدات عمليات برامج التجسس الخاصة بها عن طريق تحويل مدفوعات العملاء إلى حسابات Stripe وPayPal التي تم إنشاؤها تحت هويات أمريكية مزيفة باستخدام جوازات سفر أمريكية مزيفة وأرقام ضمان اجتماعي ومستندات مزورة أخرى.

توصل تحقيقنا إلى أن الهويات المزورة كانت مرتبطة بحسابات مصرفية في فيتنام يديرها موظفو 1Byte ومديرها فان ثيو. في ذروتها، حققت TheTruthSpy أكثر من 2 مليون دولار من مدفوعات العملاء.

قامت PayPal وStripe بتعليق حسابات صانع برامج التجسس بعد الاستفسارات الأخيرة من TechCrunch، كما فعلت شركات استضافة الويب التي يوجد مقرها في الولايات المتحدة والتي استخدمتها 1Byte لاستضافة البنية التحتية لعملية برامج التجسس وتخزين البنوك الضخمة لبيانات هواتف الضحايا المسروقة.

بعد أن قام مضيفو الويب الأمريكيون بإقلاع TheTruthSpy من شبكاتهم، تتم الآن استضافة عملية برامج التجسس على خوادم في مولدوفا بواسطة مضيف ويب يُدعى AlexHost، يديره Alexandru Scutaru، والذي يدعي سياسة تجاهل طلبات إزالة حقوق الطبع والنشر الأمريكية.

على الرغم من تعثره وتدهوره، لا يزال TheTruthSpy يسهل مراقبة آلاف الأشخاص، بما في ذلك الأمريكيين.

وطالما بقي TheTruthSpy متصلاً بالإنترنت وعاملاً، فسوف يهدد أمن وخصوصية ضحاياه، في الماضي والحاضر. ليس فقط بسبب قدرة برامج التجسس على غزو الحياة الرقمية لأي شخص، ولكن لأن TheTruthSpy لا يمكنه الاحتفاظ بالبيانات التي يسرقها من الانسكاب على الإنترنت.

اقرأ المزيد عن تك كرانش: