Código en la pantalla de un ordenador. | PEXELS

TW
0

Una investigación ha identificado alrededor de 50.000 nuevos dispositivos Android víctimas de la vulnerabilidad asociada al 'stalkerware' TheTruthSpy, que ha sido explotada de nuevo por dos grupos de 'hackers' para el robo de datos como los números IMEI únicos de cada dispositivo y direcciones ID de publicidad.

Durante una investigación realizada por el medio especializado TechCrunch en el año 2021 sobre aplicaciones 'stalkerware', se desveló una vulnerabilidad presente en un grupo de aplicaciones espía destinadas a consumidores, como Copy9, MxSpy, TheTruthSpy y iSpyoo.

Las aplicaciones 'stalkerware', como es el caso de TheTruthSpy, son un 'software' que facilita la vigilancia secreta de dispositivos móviles. Así, este tipo de aplicaciones se instalan de forma discreta en el dispositivo que se quiera espiar en cuestión, para poder rastrear y monitorizar las acciones del usuario que lo utilice.

En este sentido, la vulnerabilidad encontrada permitía que un actor externo pudiera acceder de forma remota y sin necesidad de ser autenticado a la información personal que recopilaba la 'app' espía. Así, a través de este fallo de seguridad se estaba filtrando información sensible de las víctimas, como el número de teléfono, los mensajes o la ubicación.

Sin embargo, dicha vulnerabilidad no fue resuelta ni por los responsables de las aplicaciones, ni por los proveedores de alojamiento, tal y como se pudo conocer en febrero de 2022.

Ahora, según ha podido saber el mismo medio, dos grupos de 'hackers' han encontrado el mismo fallo de seguridad y lo han aprovechado para robar datos de los usuarios que han estado utilizando dispositivos Android con este tipo de 'apps' instaladas, en concreto, extrayendo dicha información personal directamente desde los servidores de TheTruthSpy.

En concreto, según ha compartido la 'hacker' Maia Arson Crimew en una publicación en su blog, quien también ha investigado esta vulnerabilidad, los grupos de 'hackers' son SiegedSec y ByteMeCrew, que explotaron el fallo de seguridad el pasado mes de diciembre de 2023.

Asimismo, Crimew ha reconocido haber podido acceder a esta vulnerabilidad de cuatro formas distintas, ya que ha encontrado nuevos fallos de seguridad en el 'software' de TheTruthSpy.

Entre la información obtenida, se incluían los números IMEI únicos de cada dispositivo (el conjunto de dígitos que funciona como un código internacional de identidad para los dispositivos móviles), y direcciones ID de publicidad (el identificador principal de un dispositivo para que las redes de publicidad muestren anuncios) de «decenas de miles de 'smartphones' Android'», que tenían la 'app' espía instalada.

Así, TechCrunch ha indicado que ha verificado los datos extraídos por los 'hackers' SiegedSec y ByteMeCrew, para garantizar que son auténticos, comparándolos con los datos extraídos en los abusos a la misma vulnerabilidad realizados anteriormente.

En total, según han comprobado, se han identificado alrededor de 50.000 nuevos dispositivos que han sido víctimas del fallo de seguridad asociado al 'stalkerware' TheTruthSpy. Concretamente, se trata de 'smartphones' y tabletas Android comprometidos por TheTruthSpy hasta diciembre de 2023, afectando a una gran cantidad de usuarios de Europa, India, Indonesia, Estados Unidos y Reino Unido, entre otras regiones.

Por otra parte, tal y como han detallado TechCrunch y la 'hacker' Crimew, el 'stalkerware' TheTruthSpy está ligado a la empresa con sede en Vietnam 1Byte, que llegó a ganar más de 2 millones de dólares en pagos de clientes por el uso de la 'app' espía.

Con todo ello, desde el mismo medio tecnológico han señalado que, mientras TheTruthSpy «permanezca operativo», continuará amenazando la seguridad y privacidad de los usuarios, ya que no solo actuará como un 'software' espía, sino que los datos obtenidos se podrán filtrar en Internet gracias a posibles ataques a la vulnerabilidad identificada, similares a los descritos anteriormente.

Para identificar si un dispositivo Android ha sido vulnerado y se encuentra entre los 50.000 nuevos dispositivos identificados en el último ataque, TechCrunch ha puesto a disposición una herramienta gratuita de búsqueda de 'software' expía.