Peretas mengungkap korban baru penguntit TheTruthSpy: Apakah perangkat Android Anda disusupi?

Spyware tingkat konsumen Operasi yang disebut TheTruthSpy menimbulkan risiko keamanan dan privasi yang berkelanjutan bagi ribuan orang yang perangkat Androidnya tanpa disadari telah disusupi oleh aplikasi pengawasan selulernya, salah satunya karena kelemahan keamanan sederhana yang tidak pernah diperbaiki oleh operatornya.

Kini, dua kelompok peretas telah secara independen menemukan kelemahan yang memungkinkan akses massal data perangkat seluler korban yang dicuri langsung dari server TheTruthSpy.

Peretas yang berbasis di Swiss kata Maia Arson Crimew dalam sebuah postingan blog bahwa kelompok peretas SiegedSec dan ByteMeCrew mengidentifikasi dan mengeksploitasi kelemahan tersebut pada bulan Desember 2023. Crimew, yang diberi cache data korban TheTruthSpy dari ByteMeCrew, juga menjelaskan menemukan beberapa kerentanan keamanan baru di tumpukan perangkat lunak TheTruthSpy.

Crimew memberi TechCrunch beberapa data TheTruthSpy yang dibobol untuk verifikasi dan analisis, termasuk nomor IMEI perangkat unik dan ID iklan dari puluhan ribu ponsel Android yang baru-baru ini disusupi oleh TheTruthSpy. TechCrunch memverifikasi keaslian data baru dengan mencocokkan beberapa nomor IMEI dan ID iklan dengan daftar perangkat sebelumnya yang diketahui telah disusupi oleh TheTruthSpy seperti yang ditemukan selama penyelidikan TechCrunch sebelumnya.

Kumpulan data terbaru mencakup pengidentifikasi perangkat Android dari setiap ponsel dan tablet yang disusupi oleh TheTruthSpy hingga dan termasuk Desember 2023. Data menunjukkan TheTruthSpy terus secara aktif memata-matai sekelompok besar korban di Eropa, India, Indonesia, Amerika Serikat, dan Inggris, dan di tempat lain.

TechCrunch telah menambahkan pengidentifikasi unik terbaru — sekitar 50.000 perangkat Android baru — ke alat pencarian spyware gratis kami yang memungkinkan Anda memeriksa apakah perangkat Android Anda telah disusupi oleh TheTruthSpy.

Bug keamanan di TheTruthSpy mengungkap data perangkat korban

Pada suatu waktu, TheTruthSpy adalah salah satu aplikasi paling produktif untuk memfasilitasi pengawasan rahasia perangkat seluler.

TheTruthSpy adalah salah satu armada aplikasi spyware Android yang hampir identik, termasuk Copy9 dan iSpyoo dan lainnya, yang ditanam secara diam-diam di perangkat seseorang oleh seseorang yang biasanya mengetahui kode sandinya. Aplikasi ini disebut “stalkerware”, atau “spousware”, karena kemampuannya melacak dan memantau orang secara ilegal, seringkali pasangan, tanpa sepengetahuan mereka.

Aplikasi seperti TheTruthSpy dirancang untuk tetap tersembunyi di layar utama, membuat aplikasi ini sulit diidentifikasi dan dihapus, sambil terus mengunggah konten ponsel korban ke dasbor yang dapat dilihat oleh pelaku.

Meskipun TheTruthSpy memuji kemampuan pengawasannya yang kuat, operasi spyware ini tidak terlalu memperhatikan keamanan data yang dicurinya.

Sebagai bagian dari penyelidikan terhadap aplikasi spyware tingkat konsumen pada bulan Februari 2022, TechCrunch menemukan bahwa TheTruthSpy dan aplikasi tiruannya memiliki kerentanan umum yang mengekspos data ponsel korban yang disimpan di server TheTruthSpy. Bug ini sangat merusak karena sangat mudah untuk dieksploitasi, dan memberikan akses jarak jauh tanpa batas ke semua data yang dikumpulkan dari perangkat Android korban, termasuk pesan teks, foto, rekaman panggilan, dan data lokasi real-time yang tepat.

Namun operator di balik TheTruthSpy tidak pernah memperbaiki bug tersebut, sehingga data korbannya semakin tersusupi. Hanya informasi terbatas mengenai bug tersebut, dikenal sebagai CVE-2022-0732kemudian diungkapkan, dan TechCrunch terus menyembunyikan rincian bug tersebut karena risiko berkelanjutan yang ditimbulkannya pada korban.

Mengingat kesederhanaan bug tersebut, eksploitasi publiknya hanya tinggal menunggu waktu saja.

TheTruthSpy terhubung dengan startup yang berbasis di Vietnam, 1Byte

Ini adalah kejadian terbaru dalam serangkaian insiden keamanan yang melibatkan TheTruthSpy, dan ratusan ribu orang yang perangkatnya telah disusupi dan datanya dicuri.

Pada bulan Juni 2022, sebuah sumber memberi TechCrunch data bocor yang berisi catatan setiap perangkat Android yang pernah disusupi oleh TheTruthSpy. Karena tidak ada cara untuk mengingatkan korban (dan tanpa potensi memperingatkan pelakunya), TechCrunch membuat alat pencarian spyware yang memungkinkan siapa pun memeriksa sendiri apakah perangkat mereka telah disusupi.

Alat pencarian mencari kecocokan dengan daftar nomor IMEI dan ID iklan yang diketahui telah disusupi oleh TheTruthSpy dan aplikasi tiruannya. TechCrunch juga memiliki panduan tentang cara menghapus spyware TheTruthSpy — jika aman untuk dilakukan.

Namun praktik keamanan TheTruthSpy yang buruk dan server yang bocor juga membantu mengungkap identitas nyata para pengembang di balik operasi tersebut, yang telah berupaya keras untuk menyembunyikan identitas mereka.

TechCrunch kemudian menemukan bahwa startup yang berbasis di Vietnam bernama 1Byte berada di belakang TheTruthSpy. Investigasi kami menemukan bahwa 1Byte menghasilkan jutaan dolar selama bertahun-tahun dari operasi spyware dengan menyalurkan pembayaran pelanggan ke akun Stripe dan PayPal yang dibuat dengan identitas Amerika palsu menggunakan paspor AS palsu, nomor Jaminan Sosial, dan dokumen palsu lainnya.

Investigasi kami menemukan bahwa identitas palsu tersebut terkait dengan rekening bank di Vietnam yang dijalankan oleh karyawan 1Byte dan direkturnya, Van Thieu. Pada puncaknya, TheTruthSpy menghasilkan lebih dari $2 juta dalam pembayaran pelanggan.

PayPal dan Stripe menangguhkan akun pembuat spyware tersebut setelah adanya pertanyaan baru-baru ini dari TechCrunch, begitu pula dengan perusahaan web hosting berbasis di AS yang digunakan 1Byte untuk menghosting infrastruktur operasi spyware dan menyimpan sejumlah besar data telepon korban yang dicuri.

Setelah host web AS mem-boot TheTruthSpy dari jaringan mereka, operasi spyware kini dihosting di server di Moldova oleh host web bernama AlexHost, dijalankan oleh Alexandru Scutaru, yang mengklaim kebijakan mengabaikan permintaan penghapusan hak cipta AS.

Meskipun tertatih-tatih dan terdegradasi, TheTruthSpy masih aktif memfasilitasi pengawasan terhadap ribuan orang, termasuk orang Amerika.

Selama masih online dan beroperasi, TheTruthSpy akan mengancam keamanan dan privasi para korbannya, dulu dan sekarang. Bukan hanya karena kemampuan spyware untuk menyerang kehidupan digital seseorang, namun karena TheTruthSpy tidak dapat menjaga data yang dicurinya agar tidak tersebar ke internet.

Baca lebih lanjut di TechCrunch: