Qualche tempo fa vi abbiamo parlato di Pegasus, un attacco informatico di livello globale che ha permesso a governi e organizzazioni di tutto il mondo di spiare migliaia di personaggi di rilievo. Ebbene, oggi sono spuntati nuovi dati mostrano che un'applicazione di sorveglianza telefonica chiamata Spyhide, la quale sta segretamente raccogliendo dati privati da decine di migliaia di dispositivi Android in tutto il mondo.
Spyhide è una diffusa app stalkerware (o spouseware) che viene piazzata segretamente sullo smartphone della vittima, spesso da qualcuno che conosce il codice di accesso del dispositivo. Quest'app è progettata per rimanere nascosta sulla schermata principale del telefono, rendendola difficile da individuare e rimuovere. Una volta installata, Spyhide carica in modo silenzioso e costante i contatti, i messaggi, le foto, i registri delle chiamate e le registrazioni del telefono, insieme alla posizione precisa in tempo reale.
Un hacker con base in Svizzera, "maia arson crimew", ha rivelato in un post sul blog che il produttore di spyware ha esposto una parte del suo ambiente di sviluppo, permettendo l'accesso al codice sorgente del pannello di controllo basato sul web che gli abusatori utilizzano per visualizzare i dati rubati dai telefoni delle loro vittime. Sfruttando una vulnerabilità nel pannello di controllo, crimew ha avuto accesso ai database di back-end, rivelando il funzionamento interno di questa operazione segreta dello spyware e i suoi presunti amministratori.
Il database di Spyhide conteneva dettagliate registrazioni di circa 60.000 dispositivi Android compromessi, risalenti al 2016 fino a metà luglio. Queste registrazioni includevano registri delle chiamate, messaggi di testo e cronologie precise delle posizioni, oltre a informazioni su ogni file, come data e ora in cui sono state scattate e caricate foto o video, e data e durata delle chiamate registrate.
La rete di sorveglianza di Spyhide si estende in ogni continente, con migliaia di vittime in Europa e Brasile. Negli Stati Uniti ci sono più di 3.100 dispositivi compromessi, solo una frazione del totale mondiale, ma queste vittime sono alcune delle più sorvegliate in rete in base alla quantità di dati di posizione raccolti. Inoltre, il database di Spyhide conteneva anche registrazioni di 750.000 utenti che si erano registrati a Spyhide con l'intenzione di installare l'app sul dispositivo di una vittima.
Nonostante il grande numero di utenti, la maggior parte di loro non ha effettivamente compromesso un telefono o pagato per lo spyware. Tuttavia, più di 4.000 utenti controllavano più di un dispositivo compromesso, mentre un numero minore di account utente gestiva decine di dispositivi compromessi.
I dati contenevano anche 3,29 milioni di messaggi di testo con informazioni altamente personali, come codici a due fattori e link per il ripristino delle password; oltre 1,2 milioni di registrazioni delle chiamate con numeri di telefono del destinatario e durata delle chiamate; circa 312.000 file di registrazione delle chiamate; oltre 925.000 elenchi di contatti con nomi e numeri di telefono; e 382.000 foto e immagini. I dati contenevano anche dettagli su quasi 6.000 registrazioni ambientali registrate in modo furtivo dal microfono del telefono della vittima.
Il sito web di Spyhide non menziona, ovviamente, chi gestisce l'operazione o dove sia stata sviluppata. Tuttavia, il codice sorgente ha rivelato i nomi di due sviluppatori iraniani che traggono profitto dall'operazione. Uno dei due, Mostafa M., sembra attualmente residente a Dubai secondo il suo profilo LinkedIn, ma in passato ha vissuto nella stessa città iraniana nord-orientale dell'altro sviluppatore di Spyhide, Mohammad A., come risulta dai registri associati ai domini di Spyhide.