Специалист по информационной безопасности Эрик Дейгл обнаружил серьезную уязвимость в Android-приложении Catwatchful, которое позиционируется как инструмент родительского контроля, но фактически представляет собой полноценное шпионское программное обеспечение. Брешь в безопасности привела к компрометации персональных данных более 62 000 пользователей, включая логины и пароли в открытом виде.
Функциональность и методы работы Catwatchful
Catwatchful является типичным представителем сталкерского ПО, замаскированного под легитимное решение для мониторинга. Приложение предоставляет злоумышленникам широкий спектр возможностей для скрытого наблюдения за целевыми устройствами в режиме реального времени.
Основные функции включают:
• Просмотр любого контента на устройстве жертвы
• Прослушивание через микрофон
• Доступ к камерам смартфона
• Получение фотографий и видеозаписей
• Мониторинг переписки в мессенджерах
• Отслеживание геолокации
Разработчики открыто заявляли о скрытом характере работы приложения: «Да, вы можете следить за телефоном цели без ее ведома с помощью программного обеспечения для мониторинга мобильных телефонов. Приложение невидимо и не обнаруживается на телефоне».
Техническая реализация атаки
Для установки Catwatchful злоумышленнику необходимо получить физический доступ к целевому устройству. После регистрации в системе пользователь получает предварительно настроенный APK-файл с уникальными учетными данными.
Установленное приложение работает в фоновом режиме, передавая собранную информацию в базу данных Firebase. Доступ к украденным данным осуществляется через веб-панель управления.
Детали обнаруженной уязвимости
В ходе исследования внутренней архитектуры приложения эксперт выявил критическую уязвимость типа SQL-инъекция. Основная проблема заключалась в отсутствии аутентификации для API приложения, что позволяло любому пользователю взаимодействовать с базой данных.
Эксплуатация уязвимости предоставила доступ к:
• Логинам и паролям всех 62 050 зарегистрированных аккаунтов
• Данным о привязке аккаунтов к конкретным устройствам
• Информации, собранной с 26 000 устройств жертв
• Персональным данным разработчика приложения
География и масштаб воздействия
Анализ скомпрометированных данных показал, что большинство пострадавших устройств находились в странах Латинской Америки и Азии. Наибольшее количество жертв зафиксировано в Мексике, Колумбии, Индии, Перу, Аргентине, Эквадоре и Боливии.
Особую тревогу вызывает тот факт, что некоторые устройства были заражены Catwatchful еще в 2018 году, что свидетельствует о длительном периоде незаконного сбора персональных данных.
Идентификация разработчика
Благодаря обнаруженной уязвимости исследователь смог установить личность создателя шпионского приложения. Им оказался Омар Сок Чарков из Уругвая, чьи контактные данные, включая номер телефона и адрес электронной почты, также оказались в скомпрометированной базе данных.
Ответные меры и защита
После публикации результатов исследования компания Google оперативно внедрила дополнительные средства защиты в Play Protect для предупреждения пользователей об обнаружении Catwatchful на их устройствах.
Хостинг-провайдер заблокировал нарушивший правила аккаунт, однако разработчики быстро перенесли API к другому провайдеру, что демонстрирует их намерение продолжить незаконную деятельность.
Метод обнаружения Catwatchful
Несмотря на заявления разработчиков о невозможности обнаружения, пользователи Android могут самостоятельно проверить наличие приложения на своих устройствах. Для этого необходимо набрать комбинацию «543210» и нажать кнопку вызова.
Этот встроенный бэкдор, предназначенный для удаления шпионского ПО, принудительно раскроет присутствие Catwatchful в системе.
Данный инцидент наглядно демонстрирует серьезные риски, связанные с использованием сталкерского ПО. Отсутствие должной защиты в подобных приложениях не только нарушает права жертв слежки, но и подвергает опасности самих пользователей шпионского софта. Регулярное обновление систем безопасности и осведомленность о методах обнаружения вредоносных программ остаются ключевыми факторами защиты от подобных угроз.