En telefonövervakning appen Spyhide samlar smyg in privat telefondata från tiotusentals Android-enheter runt om i världen, visar nya data.
Spyhide är en allmänt använd app för stalkerware (eller spouseware) som planteras på ett offers telefon, ofta av någon med kunskap om deras lösenord. Appen är utformad för att hålla sig dold på ett offers telefons startskärm, vilket gör det svårt att upptäcka och ta bort. När den väl har planterats laddar Spyhide tyst och kontinuerligt upp telefonens kontakter, meddelanden, foton, samtalsloggar och inspelningar och detaljerad plats i realtid.
Trots deras smygande och breda åtkomst till ett offers telefondata är stalkerware-appar notoriskt buggiga och är kända för att spilla, läcka eller på annat sätt utsätta offrens stulna privata data för ytterligare risk för exponering, vilket ligger bakom de risker som telefonövervakningsappar utgör.
Nu är Spyhide den senaste spionprogramoperationen som lagts till på den växande listan.
Den schweiziska hackaren maia arson crimew sa in ett blogginlägg att spionprogramtillverkaren avslöjade en del av sin utvecklingsmiljö, vilket gav åtkomst till källkoden för den webbaserade instrumentpanelen som missbrukare använder för att se de stulna telefonuppgifterna från sina offer. Genom att utnyttja en sårbarhet i instrumentbrädans luddiga kod, fick crimew tillgång till back-end-databaserna, och avslöjade det inre av den hemliga spionprogramsoperationen och dess misstänkta administratörer.
Crimew försåg TechCrunch med en kopia av Spyhides textbaserade databas för verifiering och analys.
År av stulen telefondata
Spyhides databas innehöll detaljerade register över cirka 60 000 komprometterade Android-enheter, som går tillbaka till 2016 fram till datumet för exfiltrering i mitten av juli. Dessa register inkluderade samtalsloggar, textmeddelanden och exakt platshistorik som går tillbaka år, såväl som information om varje fil, som när ett foto eller en video togs och laddades upp, och när samtal spelades in och hur länge.
TechCrunch matade in närmare två miljoner platsdatapunkter till en offline geospatial och kartläggningsprogramvara, vilket gjorde det möjligt för oss att visualisera och förstå spionprogrammets globala räckvidd.
Vår analys visar att Spyhides övervakningsnätverk spänner över alla kontinenter, med kluster av tusentals offer i Europa och Brasilien. USA har mer än 3 100 komprometterade enheter, en bråkdel av det totala antalet över hela världen, men dessa amerikanska offer är fortfarande några av de mest övervakade offren på nätverket enbart av mängden platsdata. En amerikansk enhet som äventyrats av Spyhide hade i tysthet laddat upp mer än 100 000 platsdatapunkter.
Bildkrediter: TechCrunch
Spyhides databas innehöll också uppgifter om 750 000 användare som registrerade sig på Spyhide med avsikten att plantera spionprogramappen på ett offers enhet.
Även om det höga antalet användare tyder på en ohälsosam aptit för att använda övervakningsappar, fortsatte de flesta användare som registrerade sig inte för att kompromissa med en telefon eller betala för spionprogrammet, visar uppgifterna.
Som sagt, medan de flesta av de komprometterade Android-enheterna kontrollerades av en enda användare, visade vår analys att mer än 4 000 användare hade kontroll över mer än en komprometterad enhet. Ett mindre antal användarkonton hade kontroll över dussintals komprometterade enheter.
Uppgifterna inkluderade också 3,29 miljoner textmeddelanden som innehöll mycket personlig information, såsom tvåfaktorskoder och länkar för återställning av lösenord; mer än 1,2 miljoner samtalsloggar som innehåller mottagarens telefonnummer och samtalets längd, plus cirka 312 000 samtalsinspelningsfiler; mer än 925 000 kontaktlistor som innehåller namn och telefonnummer; och rekord för 382 000 foton och bilder. Uppgifterna hade också detaljer om närmare 6 000 omgivande inspelningar smygspelade från mikrofonen från offrets telefon.
Tillverkad i Iran, värd i Tyskland
På sin hemsida hänvisar Spyhide inte till vem som driver verksamheten eller var den utvecklades. Med tanke på de juridiska och anseende riskerna som är förknippade med att sälja spionprogram och underlätta övervakningen av andra, är det inte ovanligt att spionprogramsadministratörer försöker hålla sina identiteter dolda.
Men medan Spyhide försökte dölja administratörens inblandning, innehöll källkoden namnet på två iranska utvecklare som tjänar på operationen. En av utvecklarna, Mostafa M., vars LinkedIn-profil säger att han för närvarande befinner sig i Dubai, bodde tidigare i samma nordöstra iranska stad som den andra Spyhide-utvecklaren, Mohammad A., enligt registreringsuppgifter associerade med Spyhides domäner.
Utvecklarna svarade inte på flera e-postmeddelanden med begäran om kommentarer.
Stalkerware-appar som Spyhide, som uttryckligen annonserar och uppmuntrar hemlig övervakning av makar, är förbjudna från Googles appbutik. Istället måste användarna ladda ner spionprogramsappen från Spyhides webbplats.
TechCrunch installerade spionprogramappen på en virtuell enhet och använde ett nätverkstrafikanalysverktyg för att förstå vilken data som flödade in och ut ur enheten. Denna virtuella enhet innebar att vi kunde köra appen i en skyddande sandlåda utan att ge den några riktiga data, inklusive vår plats. Trafikanalysen visade att appen skickade vår virtuella enhets data till en server hos den tyska webbhotelljätten Hetzner.
När Hetzners talesman Christian Fitz nåddes för en kommentar sa till TechCrunch att webbhotellet inte tillåter värd för spionprogram.
Vad kan du göra
Android spionprogram appar är ofta förklädda som en normal utseende Android app eller process, så att hitta dessa appar kan vara svårt. Spyhide maskerar sig som en app med Google-tema som heter “Google Settings” med en kuggikon, eller en ringsignalsapp som heter “T.Ringtone” med en musiknotikon. Båda apparna begär tillstånd att komma åt en enhets data och börjar omedelbart skicka privat data till dess servrar.
Du kan kontrollera dina installerade appar via appmenyn i Inställningar, även om appen är dold på startskärmen.
Bildkrediter: TechCrunch
Vi har en allmän guide som kan hjälpa dig att ta bort Android-spionprogram, om det är säkert att göra det. Kom ihåg att om du stänger av spionprogram kommer sannolikt att varna personen som planterat det.
Att slå på Google Play Protect är ett användbart skydd som skyddar mot skadliga Android-appar, som spionprogram. Du kan aktivera det från inställningsmenyn i Google Play.
Om du eller någon du känner behöver hjälp ger National Domestic Violence Hotline (1-800-799-7233) gratis, konfidentiellt stöd dygnet runt till offer för övergrepp och våld i hemmet. Om du är i en nödsituation, ring 911 Koalition mot Stalkerware har också resurser om du tror att din telefon har äventyrats av spionprogram.