TechCrunch heeft een tool gepubliceerd waarmee Android-gebruikers kunnen nagaan of hun toestellen stalkerware van TheTruthSpy bevatten. De data is afkomstig van TheTruthSpy-servers en bevat onder andere imei-nummers van honderdduizenden Android-gebruikers.
TechCrunch kreeg begin juni cachefiles van TheTruthSpy-servers in handen met daarin lijsten van imei-nummers en advertentie-id’s van Android-toestellen die in de maand april nog stalkerware-apps van TheTruthSpy bevatten. TheTruthSpy is een bedrijf dat begin dit jaar via TechCrunch in het nieuws kwam omdat het commercieel verkrijgbare software verkoopt waarmee smartphone- en desktopcomputergebruikers bespioneerd kunnen worden. De software bevatte bovendien een kwetsbaarheid waarmee gebruikersinformatie op de servers verkregen kon worden zonder dat er authenticatie nodig was. De redactie van de website ontdekte toen dat de stalkerware-apps van dit bedrijf minstens 400.000 Android-gebruikers had getroffen.
De stalkerware kan onder andere de gps-locatie, foto’s, webgeschiedenis, e-mail- en chatberichten en toetsaanslagen registreren. TheTruthSpy bracht een stalkerware-app uit onder zijn eigen naam, maar ook onder andere namen zoals Copy9, MxSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, GuestSpy en FoneTracker. Deze apps communiceren volgens TechCrunch allemaal met dezelfde servers en de cachefiles van die servers heeft de website nu in handen.
TechCrunch raadt geïnteresseerden aan om de tool niet te gebruiken op het potentieel besmette toestel. De controle dient met een ander toestel uitgevoerd te worden. Gebruikers dienen vervolgens het imei-nummer of de advertentie-id van het toestel in te voeren in de online tool. Die controleert dan op aanwezigheid van de nummers in de cachefiles van de servers TheTruthSpy.
Als de tool aangeeft dat een Android-toestel besmet is, kan de stalkerware-app volgens TechCrunch verwijderd worden door Google Play Protect in te schakelen en de toegankelijkheidssinstellingen te controleren op onbekende services en deze vervolgens te verwijderen. TechCrunch stelt ook dat device admin-apps op Android gecontroleerd, en indien nodig verwijderd moeten worden. Gebruikers dienen ook hun Android-applijst te controleren op apps die ze niet herkennen.
De stalkerware-apps van TheTruthSpy worden meestal heimelijk op de toestellen van slachtoffers geïnstalleerd, maar de apps bevatten ook een insecure direct object references-kwetsbaarheid, of kortweg IDOR-kwetsbaarheid. Hierdoor kunnen hackers zonder authenticatie persoonlijke informatie van getroffen personen van de servers halen. De kwetsbaarheid werd aangeduid als CVE-2022-0732.
/i/2007351104.webp?f=fpa)
/i/1144661405.png?f=fpa)
/i/2004612546.png?f=fpa)
/i/2005333236.png?f=fpa)
:strip_exif()/i/2005152368.jpeg?f=fpa)
:strip_exif()/i/2004648158.jpeg?f=fpa)
:strip_exif()/i/2005149228.jpeg?f=fpa)
/i/2005017354.png?f=fpa)
:strip_exif()/i/2005105876.jpeg?f=fpa)
/i/2004634812.png?f=fpa)
/i/2004618418.png?f=fpa)
/u/267848/crop6148de8bb8292_cropped.png?f=community){kind=small}
:strip_exif()/u/25408/Eraser127-fiets.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community){kind=small}
/u/185949/crop5fed94243cc25_cropped.png?f=community){kind=small}