Catwatchful Casus Yazılımı Binlerce Telefonu İzlediği ortaya çıktı

Catwatchful adlı gizli bir Android casus yazılım operasyonundaki bir güvenlik açığı, yöneticisi de dahil olmak üzere binlerce müşterisinin bilgilerini ifşa etti. 

Güvenlik araştırmacısı Eric Daigle tarafından keşfedilen hata, casus yazılım uygulamasının Catwatchful müşterilerinin kurbanlarının telefonlarından çalınan verilere erişmek için kullandığı e-posta adresleri ve düz metin parolalarından oluşan tam veritabanını sızdırdı.

Catwatchful, "görünmez ve tespit edilemez" olduğunu iddia eden ve kurbanın telefonunun özel içeriklerini uygulamayı yerleştiren kişi tarafından görülebilen bir panoya yükleyen bir çocuk izleme uygulaması kılığında casus yazılımdır. Çalınan veriler arasında kurbanların fotoğrafları, mesajları ve gerçek zamanlı konum verileri yer alır. Uygulama ayrıca telefonun mikrofonundan gelen canlı ortam sesine uzaktan erişebilir ve hem ön hem de arka telefon kameralarına erişebilir.

Catwatchful gibi casus yazılım uygulamaları uygulama mağazalarından yasaklanmıştır ve bir kişinin telefonuna fiziksel erişimi olan biri tarafından indirilip yerleştirilmesine güvenir. Bu nedenle, bu uygulamalar eşlerin ve romantik partnerlerin rızası olmadan gözetlenmesini kolaylaştırma eğilimleri nedeniyle genellikle "takip yazılımı" (veya eş yazılımı) olarak adlandırılır ve bu yasadışıdır.

Catwatchful, hacklenen, ihlal edilen veya elde ettikleri verileri başka şekilde ifşa eden artan sayıdaki takip yazılımı operasyonunun son örneğidir ve bu yıl veri sızıntısı yaşayan en az beşinci casus yazılım operasyonudur. Bu olay, hem ödeme yapan müşterileri hem de şüphesiz kurbanları veri ihlallerine maruz bırakan kötü kodlama ve güvenlik kusurlarına eğilimli olmalarına rağmen tüketici sınıfı casus yazılımların yayılmaya devam ettiğini göstermektedir.

TechCrunch'ın incelediği, Haziran ayının başından itibaren veritabanının bir kopyasına göre Catwatchful, 62.000'den fazla müşteriye ait e-posta adresleri ve şifreleri ile 26.000 mağdurun cihazlarındaki telefon verilerine sahipti.

Ele geçirilen cihazların çoğu Meksika, Kolombiya, Hindistan, Peru, Arjantin, Ekvador ve Bolivya'da bulunuyordu (kurban sayısına göre). Veriler, kayıtların bazılarının 2018'e kadar uzandığını gösteriyor.

Catwatchful veritabanı ayrıca, Uruguay'da yaşayan bir geliştirici olan casus yazılım operasyonunun yöneticisi Omar Soca Charcov'un kimliğini de ortaya çıkardı. Charcov e-postalarımızı açtı ancak hem İngilizce hem de İspanyolca olarak gönderdiğimiz yorum taleplerimize yanıt vermedi. TechCrunch, Catwatchful veri ihlalinden haberdar olup olmadığını ve olayı müşterilerine açıklamayı planlayıp planlamadığını sordu.

Charcov'un olayı ifşa edeceğine dair net bir belirti olmamasına rağmen TechCrunch, Catwatchful veritabanının bir kopyasını veri ihlali bildirim servisi Have I Been Pwned'a sağladı.

Catwatchful casus yazılım verilerini Google sunucularında barındırıyor

Daha önce stalkerware suistimallerini araştıran Kanadalı bir güvenlik araştırmacısı olan Daigle, bulgularını bir blog yazısında ayrıntılı olarak anlattı. 

Daigle'a göre Catwatchful, her bir yerleştirilmiş Android uygulamasının Catwatchful'un sunucularına iletişim kurmak ve veri göndermek için güvendiği özel yapım bir API kullanıyor. Casus yazılım ayrıca kurbanın fotoğrafları ve ortam ses kayıtları da dahil olmak üzere çalınan telefon verilerini barındırmak ve depolamak için bir web ve mobil geliştirme platformu olan Google'ın Firebase'ını kullanıyor.

Daigle, TechCrunch'a yaptığı açıklamada, API'nin kimlik doğrulaması yapılmadığını, bu sayede internetteki herkesin oturum açmaya gerek kalmadan Catwatchful kullanıcı veritabanıyla etkileşime girebildiğini ve bu durumun Catwatchful'un müşteri e-posta adresleri ve parolalarından oluşan tüm veritabanını ifşa ettiğini söyledi. 

TechCrunch tarafından kendisine ulaşıldığında, Catwatchful API'sini barındıran web şirketi casus yazılım geliştiricisinin hesabını askıya aldı ve casus yazılımın çalışmasını kısa süreliğine engelledi, ancak API daha sonra HostGator'da geri döndü. HostGator sözcüsü Kristen Andrews, casus yazılımın operasyonlarını barındıran şirketle ilgili yorum taleplerine yanıt vermedi.

TechCrunch, Catwatchful'un Firebase'ı kullandığını, Catwatchful casus yazılımını sanallaştırılmış bir Android cihaza indirip yükleyerek doğruladı; bu sayede casus yazılımı, konumumuz gibi gerçek dünya verilerini vermeden izole bir sanal alanda çalıştırabiliyoruz. 

Cihaza giren ve cihazdan çıkan ağ trafiğini inceledik ve bu trafiğin, kurbanın çalınan verilerini barındırmak için Catwatchful tarafından kullanılan belirli bir Firebase örneğine yüklenen verileri gösterdiğini gördük.

TechCrunch, Google'a Catwatchful kötü amaçlı yazılımının kopyalarını sağladıktan sonra Google, Android telefonları casus yazılım gibi kötü amaçlı uygulamalara karşı tarayan bir güvenlik aracı olan Google Play Protect için yeni korumalar eklediğini söyledi . Artık Google Play Protect, bir kullanıcının telefonunda Catwatchful casus yazılımını veya yükleyicisini tespit ettiğinde kullanıcıları uyaracak.

TechCrunch ayrıca Google'a Catwatchful işlemi için veri depolamada kullanılan Firebase örneğinin ayrıntılarını da sağladı. Takip yazılımı işleminin Firebase'in hizmet şartlarını ihlal edip etmediği sorulduğunda, Google 25 Haziran'da TechCrunch'a soruşturma yürüttüğünü ancak işlemi derhal kaldırmaya söz vermeyeceğini söyledi.

"Firebase ürünlerini kullanan tüm uygulamalar hizmet şartlarımıza ve politikalarımıza uymalıdır. Bu özel sorunu araştırıyoruz ve bir uygulamanın ihlal ettiğini tespit edersek uygun işlem yapılacaktır. Bu uygulamaları yüklemeye çalışan Android kullanıcıları Google Play Protect tarafından korunmaktadır" dedi Google sözcüsü Ed Fernandez.

Yayın tarihi itibarıyla Catwatchful hala Firebase'da barındırılıyor.

Opsec hatası casus yazılım yöneticisini ifşa etti

Birçok casus yazılım operasyonu gibi Catwatchful da sahibini kamuya açık olarak listelemez veya operasyonu kimin yürüttüğünü açıklamaz. Yasadışı gözetimi kolaylaştırmanın beraberinde getirdiği yasal ve itibar riskleri göz önüne alındığında, takip yazılımı ve casus yazılım operatörlerinin gerçek kimliklerini gizlemeleri alışılmadık bir durum değildir.

Ancak veri setindeki bir operasyonel güvenlik sorunu, Charcov'un operasyonun yöneticisi olduğunu ortaya çıkardı. 

Catwatchful veritabanının incelenmesi, Charcov'u veri kümesindeki dosyalardan birinin ilk kaydı olarak listeler. (Geçmiş casus yazılımla ilgili veri ihlallerinde, bazı operatörler veritabanındaki erken kayıtlarla tespit edilmiştir, çünkü çoğu zaman geliştiriciler casus yazılım ürününü kendi cihazlarında test etmektedir.)

Veri kümesinde Charcov'un tam adı, telefon numarası ve Catwatchful'un veritabanının Google sunucularında saklandığı belirli Firebase örneğinin web adresi yer alıyordu.

Charcov'un veri setinde bulunan kişisel e-posta adresi, o zamandan beri gizli olarak ayarlanan LinkedIn sayfasında listelediği e-posta adresiyle aynıdır. Charcov ayrıca, hesabı kilitlendiğinde kişisel e-posta hesabında parola kurtarma adresi olarak Catwatchful yöneticisinin e-posta adresini yapılandırdı ve bu da Charcov'u doğrudan Catwatchful operasyonuna bağladı.

Catwatchful casus yazılımı nasıl kaldırılır

Catwatchful'un "kaldırılamayacağını" iddia etmesine rağmen, etkilenen cihazdan uygulamayı tespit edip kaldırmanın yolları bulunuyor.

Başlamadan önce, bir güvenlik planına sahip olmak önemlidir , çünkü casus yazılımı devre dışı bırakmak onu yerleştiren kişiyi uyarabilir. Stalkerware'e Karşı Koalisyon bu alanda önemli çalışmalar yapar ve mağdurlara ve kurtulanlara yardımcı olmak için kaynaklara sahiptir.

Android kullanıcıları , Android telefon uygulamanızın tuş takımından 543210'u arayıp arama düğmesine basarak, Catwatchful'u gizli olsa bile tespit edebilir . Catwatchful yüklüyse, uygulama ekranınızda görünmelidir. Bu kod, uygulamayı yerleştiren kişinin uygulama gizlendiğinde ayarlara yeniden erişebilmesini sağlayan yerleşik bir arka kapı özelliğidir . Bu kod, uygulamanın yüklü olup olmadığını görmek için herkes tarafından da kullanılabilir.

Uygulamayı kaldırmaya gelince, TechCrunch'ın Android casus yazılımlarını kaldırmaya yönelik genel bir kılavuzu var. Bu kılavuz, yaygın telefon takip yazılımlarını tespit edip kaldırmanıza ve ardından Android cihazınızı güvence altına almak için ihtiyaç duyduğunuz çeşitli ayarları etkinleştirmenize yardımcı olabilir.