Entrada

Un nuevo defecto de seguridad en el software espía de teléfonos TheTruthSpy está poniendo en riesgo a las víctimas.

Publicado
Por TheCodic
5 min de lectura
Un nuevo defecto de seguridad en el software espía de teléfonos TheTruthSpy está poniendo en riesgo a las víctimas.

an illustration of a laptop computer and a Texas driver's license on a colorful blue, red, and teal background

Image Credits:Bryce Durbin / TechCrunch

Un fabricante de software espía con un historial de múltiples fugas de datos y brechas ahora tiene una vulnerabilidad de seguridad crítica que permite a cualquier persona tomar el control de cualquier cuenta de usuario y robar sus datos personales sensibles, TechCrunch ha confirmado.

El investigador de seguridad independiente Swarang Wade encontró la vulnerabilidad, que permite a cualquier persona restablecer la contraseña de cualquier usuario de la aplicación de software espía TheTruthSpy y sus muchas aplicaciones de software espía para Android, lo que lleva al secuestro de cualquier cuenta en la plataforma. Dado el carácter de TheTruthSpy, es probable que muchos de sus clientes la estén operando sin el consentimiento de sus objetivos, quienes no saben que sus datos de teléfono están siendo extraídos a otra persona.

Este defecto básico muestra, una vez más, que los fabricantes de software espía para consumidores como TheTruthSpy — y sus muchos competidores — no pueden confiarse con los datos de nadie. Estas aplicaciones de vigilancia no solo facilitan el espionaje ilegal, a menudo por parte de parejas románticas abusivas, sino que también tienen prácticas de seguridad deficientes que exponen los datos personales de tanto las víctimas como los perpetradores.

Hasta la fecha, TechCrunch ha contado al menos 26 operaciones de software espía que han filtrado, expuesto o de otro modo derramado datos en los últimos años. Por nuestra cuenta, esto es al menos el cuarto desliz de seguridad involucrando TheTruthSpy.

TechCrunch verificó la vulnerabilidad proporcionando al investigador el nombre de usuario de varias cuentas de prueba. El investigador cambió rápidamente las contraseñas de las cuentas. Wade intentó contactar al propietario de TheTruthSpy para alertarlo del defecto, pero no recibió ninguna respuesta.

Cuando se contactó a TechCrunch, el director de la operación de software espía Van (Vardy) Thieu dijo que había “perdido” el código fuente y no puede corregir el error.

Hasta la publicación, la vulnerabilidad aún existe y representa un riesgo significativo para las miles de personas whose phones are believed to be unknowingly compromised by TheTruthSpy’s spyware.

Dado el riesgo para el público en general, no estamos describiendo la vulnerabilidad en más detalles para no ayudar a actores maliciosos.

Un breve historial de los muchos defectos de seguridad de TheTruthSpy

TheTruthSpy es una operación de software espía prolífica con raíces que se remontan casi una década. Durante un tiempo, la red de software espía fue una de las más grandes conocidas de vigilancia de teléfonos en la web.

TheTruthSpy es desarrollado por 1Byte Software, una empresa de software espía basada en Vietnam dirigida por Thieu. TheTruthSpy es una de una flota de aplicaciones de software espía casi idénticas con diferentes marcas, incluyendo Copy9, y marcas ya defuncionadas como iSpyoo, MxSpy, y otras. Las aplicaciones de software espía comparten los mismos paneles de control de back-end que los clientes de TheTruthSpy utilizan para acceder a los datos robados de sus víctimas.

Por lo tanto, los errores de seguridad en TheTruthSpy también afectan a los clientes y víctimas de cualquier aplicación de software espía con marca o etiquetada que dependa del código subyacente de TheTruthSpy.

Como parte de una investigación sobre la industria del software espía en 2021, TechCrunch encontró que TheTruthSpy tenía un error de seguridad que exponía los datos privados de sus 400,000 víctimas a cualquier persona en Internet. Los datos expuestos incluían la información más personal de las víctimas, como sus mensajes privados, fotos, registros de llamadas y sus datos de ubicación históricos.

TechCrunch recibió posteriormente un caché de archivos de los servidores de TheTruthSpy, que expusieron el funcionamiento interno de la operación de software espía. Los archivos también contenían una lista de todos los dispositivos Android comprometidos por TheTruthSpy o una de sus aplicaciones de acompañamiento. Aunque la lista de dispositivos no contenía suficiente información para identificar personalmente a cada víctima, permitió a TechCrunch construir una herramienta de búsqueda de software espía para cualquier posible víctima para verificar si su teléfono estaba en la lista.

Nuestro informe posterior, basado en cientos de documentos filtrados de los servidores de 1Byte enviados a TechCrunch, reveló que TheTruthSpy dependía de una operación de lavado de dinero masiva que utilizaba documentos falsificados y identidades falsas para eludir las restricciones impuestas por los procesadores de tarjetas de crédito en las operaciones de software espía. El esquema permitió a TheTruthSpy canalizar millones de dólares de pagos ilícitos de clientes a cuentas bancarias en todo el mundo controladas por sus operadores.

En diciembre de 2023, TheTruthSpy tuvo otra brecha de datos, exponiendo los datos personales de otras 50,000 nuevas víctimas. TechCrunch recibió una copia de estos datos y los añadimos a nuestra herramienta de búsqueda.

En la actualidad, algunas de las operaciones de TheTruthSpy han disminuido y otras partes se han reetiquetado para escapar de la escrutinio de reputación. TheTruthSpy sigue existiendo hoy en día y ha mantenido gran parte de su código fuente defectuoso y paneles de control de back-end vulnerables mientras se reetiqueta como una nueva aplicación de software espía llamada PhoneParental.

Thieu continúa involucrado en el desarrollo de software de monitoreo de teléfonos, así como en la facilitación continua de la vigilancia.

Según un análisis reciente de la infraestructura web expuesta de TheTruthSpy utilizando registros públicos de Internet, la operación sigue dependiendo de una pila de software desarrollada por Thieu llamada el JFramework (anteriormente conocido como el Jexpa Framework), que TheTruthSpy y sus otras aplicaciones de software espía utilizan para compartir datos con sus servidores.

En un correo electrónico, Thieu dijo que estaba reconstruyendo las aplicaciones desde cero, incluyendo una nueva aplicación de monitoreo de teléfonos llamada MyPhones.app. Una prueba de análisis de red realizada por TechCrunch muestra que MyPhones.app depende del JFramework para sus operaciones de back-end, el mismo sistema utilizado por TheTruthSpy.

TechCrunch tiene un explicador sobre cómo identificar y eliminar el software espía de su teléfono.

TheTruthSpy, al igual que otros operadores de software espía, sigue siendo una amenaza para las víctimas whose phones are compromised by its apps, not only because of the highly sensitive data that they steal, but because these operations continually prove that they cannot keep their victim’s data safe.

If you or someone you know needs help, the National Domestic Violence Hotline (1-800-799-7233) provides 24/7 free, confidential support to victims of domestic abuse and violence. If you are in an emergency situation, call 911. TheCoalition Against Stalkerware has resources if you think your phone has been compromised by spyware.

Security Android cybersecurity data breach Spyware stalkerware TheTruthSpy thetruthspy investigation vulnerability
Esta entrada está licenciada bajo CC BY 4.0 por el autor.