Főhet most a feje a WebDetetive nevű, kémprogramokat terítő cégnek: miután szisztematikusan spyware-ekkel fertőzte elsősorban a brazil androidos telefonokat, most őt magát találták meg a hackerek, akik nemcsak letöltötték a cégnél lévő összes adatot, hanem meg is szakították a kémprogramok kapcsolatát az áldozatok eszközeivel.

A WebDetetive egy telefonfigyelő alkalmazás, amelyet a személy beleegyezése nélkül telepítenek a telefonra, gyakran olyasvalaki, aki ismeri a telefon jelszavát. A telepítését követően az alkalmazás megváltoztatja az ikonját a telefon kezdőképernyőjén, ami megnehezíti az észlelését és az eltávolítását. A program ezután azonnal elkezdi lopva feltölteni a telefon tartalmát a szervereire, beleértve az üzeneteket, hívásnaplókat, telefonhívás-felvételeket, fényképeket, a telefon mikrofonjáról készült környezeti felvételeket, a közösségi média alkalmazásokat és a valós idejű pontos helyadatokat. Mint kiderült, közel 80 ezer eszközről van szó, és az adatok között mintegy 75 ezer egyedi ügyfél e-mail-címe szerepel.

A TechCrunch egy feljegyzésre hivatkozik, amelyben az egyelőre ismeretlen hackerek leírták, hogyan találtak és használtak ki több biztonsági rést is, hogy feltörjék a WebDetetive szervereit és hozzáférjenek felhasználók adataihoz. A hackerek azt is elárulták, hogy a műszerfali hozzáférés lehetővé tette számukra az áldozat eszközök teljes törlését is a spyware hálózatból, így gyakorlatilag megszakították a kapcsolatot szerver szinten, hogy az eszköz ne tölthessen fel új adatokat.

Ha erről a listáról bármelyik alkalmazás ott van a telefonján, az baj

Százegy darab, összesen több mint 420 milliószor letöltött alkalmazásban megtalálható az a veszélyes kártevő, ami számos rosszindulatú célra volt használható - de még arra is ügyeltek a fejlesztői, hogy a biztonsági kutatók ne tudják könnyen felfedezni.

Több mint 1,5 GB-nyi adatot szereztek meg a kémprogram webes irányítópultjáról, ami szöveges adatból rengeteg. Ezek az adatok tartalmaztak információkat az egyes ügyfelekről, például az IP-címet, amelyről bejelentkeztek, és a vásárlási előzményeket. Az adatok felsoroltak minden olyan eszközt is, amelyet feltörtek, azt, hogy a kémprogram melyik verzióját futtatta a telefon, és milyen típusú adatokat gyűjtött a kémprogram az áldozat telefonjáról.

A WebDetetive-ről alig tudni valamit (a weboldalán nem szerepel az alkalmazás tulajdonosa vagy üzemeltetője), ezért a TechCrunch némi nyomozásba kezdett. Kiderítette, hogy a szóban forgó kémprogram az OwnSpy-hoz, egy széles körben használt telefonos kémalkalmazáshoz kapcsolódik. Az OwnSpy a webhelye szerint 2010 óta működik, és állítása szerint 50 ezer ügyfele van, bár nem ismert, hogy hány eszközt kompromittált ezidáig.

A TechCrunch letöltötte a WebDetetive Android alkalmazást a webhelyéről (mivel az Apple és a Google is kitiltja a stalkerware alkalmazásokat az alkalmazásboltjaiból), és egy virtuális eszközön, egy elszigetelt „homokozóban” elemezte az alkalmazást anélkül, hogy valódi adatokat adott volna meg neki. Hálózati forgalomelemzést futtattak, hogy megértsék, milyen adatok mentek ki és be a WebDetetive alkalmazásba. Kiderült, hogy a WebDetetive az OwnSpy kémprogramjának nagyrészt újracsomagolt másolata.

Röviddel azután, hogy a TechCrunch e-mailt küldött az OwnSpy mögött álló vállalat vezetőjének, az OwnSpy ismert infrastruktúrájának egy része offline állapotba került. A WebDetetive alkalmazás viszont továbbra is működött.

A „jó” hackerek kilétét egyelőre még homály fedi, és azért azt sem tudni százszázalékos bizonyossággal, hogy tényleg sikeresen leválasztották-e valamennyi áldozat eszközét. Mindazonáltal érdekes esetről van szó, amikor a rendszerint gazembernek titulált hackerek digitális őrökként jelennek meg, akik igazságot szolgáltatnak azáltal, hogy képességeiket felhasználva letiltják az emberek magánéletét megsértő hálózatot.

A WebDetetive egyébként a második kémprogramgyártó, amely az elmúlt hónapokban adatromboló hack célpontja lett. Nemrégiben egy lengyel fejlesztő által kifejlesztett spyware alkalmazás, a LetMeSpy állt le egy feltörést követően, amely törölte az áldozatok ellopott telefonadatait a LetMeSpy szervereiről.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.