Spyhide: от Ирана до Германии, глобальная шпионская сеть на телефонах Android

Приложение для слежки за мобильными устройствами под названием Spyhide неожиданно оказалось в центре внимания после того, как стало известно о масштабной деятельности приложения по скрытному сбору приватных данных с десятков тысяч устройств Android по всему миру. Spyhide было разработано в Иране, но сервера размещены в Германии.

Злоумышленник может установить шпионское ПО Spyhide на телефон жертвы, если знает пароль целевого устройства. После установки программа остаётся незамеченной на главном экране телефона, что затрудняет обнаружение и удаление. Неприметное приложение Spyhide непрерывно и незаметно собирает контакты, сообщения, фотографии, записи звонков и точное местоположение жертвы в режиме реального времени.

Spyhide обычно маскируется под обычное Android-приложение или процесс, чтобы избежать обнаружения. Spyhide может выдавать себя за приложение «Настройки Google» или приложение для рингтонов «T.Ringtone». После получения разрешения на доступ к данным устройства, Spyhide начинает отправлять приватные данные на свои серверы.

Приложения, которые имитирует шпионское ПО Spyhide

По словам швейцарского хакера «maia arsoncrimew», разработчики шпионского ПО невольно открыли доступ к части среды разработки Spyhide, что позволило получить доступ к исходному коду веб-панели, которую злоумышленники используют для просмотра украденных данных с телефонов жертв.

База данных Spyhide содержала подробные записи около 60 000 скомпрометированных устройств Android, данные с которых были украдены с 2016 года до середины июля текущего года. Записи включали журналы вызовов, текстовые сообщения и точную историю местоположений за несколько лет, а также информацию о каждом файле, например, когда фото или видео было снято и загружено, а также когда и как долго записывались звонки.

База также содержала более 2 млн. точек местоположений. Анализ точек показал, что Spyhide имеет глобальное присутствие, охватывающее каждый континент, с тысячами жертв в Европе и Бразилии. В США зарегистрировано более 3100 скомпрометированных устройств.

Карта местоположений жертв Spyhide

База данных Spyhide также содержала записи о 750 000 пользователей, которые зарегистрировались в Spyhide с намерением установить шпионское приложение на устройство жертвы. Однако большинство из киберпреступников после регистрации не устанавливали Spyhide и не оплачивали сервис.

Несмотря на то, что приложения, подобные Spyhide, запрещены в Google Play из-за способности к тайному отслеживанию, пользователи все равно могут загрузить и установить приложение с официального веб-сайта Spyhide.

Эксперты по кибербезопасности из компании Pradeo обнаружили в Google Play два вредоносных приложения для управления файлами и восстановления данных , которые были установлены суммарно более чем на 1,5 млн. устройств. Приложения в фоновом режиме собирали данные пользователя и отправляли их на удалённые серверы в Китае.

Кроме того, с мая 2023 года в Латинской Америке распространяется новая троянская программа для Windows под названием «TOITOIN», нацеленная на кражу банковских данных. Многоступенчатая цепочка заражения трояна включает использование специально разработанных модулей, которые применяют различные техники уклонения и методы шифрования