Depuis 2016, des milliers de téléphones Android envoient en temps réel des informations sur les contacts, les messages, les photos, les journaux d’appels et les enregistrements, ainsi que sur la localisation précise, à une entreprise iranienne.
Une enquête menée par le pirate informatique basé en Suisse, maia arson crimew, a révélé que c’est une entreprise de logiciels iranienne appelée « virsys » ou « virsis » qui est responsable de cette situation.
Après avoir fourni à TechCrunch une copie de la base de données textuelle de Spyhide, la publication a révélé la portée des attaques. On estime qu’environ 60 000 dispositifs Android ont été affectés.
Spyhide Stalkerware : des millions de données de localisation et d’informations personnelles volées
Plus de 100 000 points de données de localisation ont été identifiés comme ayant été téléchargés à partir d’un seul dispositif basé aux États-Unis, avec plus de 3 000 autres dispositifs américains contribuant également aux journaux de données.
D’autres régions qui ont été clairement ciblées par le fabricant de stalkerware sont notamment certaines parties de l’Europe centrale et orientale, le Royaume-Uni et le Brésil. Un nombre considérable de téléchargements provenaient également d’Indonésie.
Alors qu’il est rapporté que plus de 4 000 utilisateurs étaient responsables de plus d’un dispositif, avec quelques individus responsables de dizaines de dispositifs, réduisant ainsi considérablement le nombre de victimes affectées, l’ampleur de l’opération reste significative.
Des milliers de smartphones et des millions de messages interceptés
Environ 3,3 millions de messages textes contenant des informations personnelles telles que des codes d’authentification à deux facteurs (2FA) et des liens de réinitialisation de mot de passe ont été découverts, ainsi que 1,2 million de journaux d’appels contenant le numéro de téléphone du destinataire et 312 000 fichiers d’enregistrement d’appels.
D’autres informations, telles que 925 000 listes de contacts, 382 000 photos et images, ainsi que 6 000 enregistrements ambiants provenant des dispositifs des victimes, ont également été identifiées par TechCrunch.
Google Play Protect : une barrière contre les stalkerwares et logiciels malveillants
Étant donné que l’application est téléchargée à partir du site web de Spyhide plutôt que de la Play Store, Google n’est pas responsable d’avoir autorisé l’application sur sa plateforme. Cependant, l’activation de Google Play Protect contribue à protéger les utilisateurs contre de tels stalkerwares et logiciels malveillants.
Aucun des deux développeurs iraniens, Mostafa M et Mohammad A, n’a répondu aux e-mails de TechCrunch. Cependant, Mohammad A a affirmé dans un e-mail à maia arson crimew n’avoir été brièvement impliqué dans le projet qu’il y a environ huit ans en tant qu’entrepreneur.
Le fournisseur allemand d’hébergement web Hetzner, identifié par TechCrunch comme l’hôte du serveur pour les journaux de données de Spyhide, a déclaré à la presse qu’il n’autorise pas l’hébergement de logiciels espions.
Source : TechCrunch