Фахівець з інформаційної безпеки Ерік Дейгл виявив критичну уразливість в Android-додатку Catwatchful, яка призвела до компрометації особистих даних понад 62 000 користувачів. Додаток, що маскується під інструмент батьківського контролю, насправді є повноцінним шпигунським програмним забезпеченням із серйозними недоліками захисту.
Архітектура та можливості шпигунського додатка
Catwatchful представляє собою типовий приклад сталкерського програмного забезпечення, що приховується за легітимним фасадом моніторингу. Додаток надає зловмисникам розширені можливості для прихованого спостереження за цільовими пристроями в режимі реального часу.
Функціональність включає повний доступ до контенту пристрою жертви, прослуховування через мікрофон, використання камер смартфона, отримання фото та відеоматеріалів, моніторинг переписки в месенджерах та відстеження геолокації. Розробники відкрито заявляли про невидимий характер роботи програми.
Технічні деталі експлуатації уразливості
Дослідження внутрішньої архітектури додатка виявило критичну SQL-ін’єкцію в системі. Основна проблема полягала у відсутності аутентифікації для API додатка, що дозволяло будь-якому користувачу взаємодіяти з базою даних без перевірки прав доступу.
Експлуатація уразливості надала доступ до логінів і паролів всіх 62 050 зареєстрованих акаунтів, даних про прив’язку акаунтів до конкретних пристроїв, інформації з 26 000 пристроїв жертв та особистих даних розробника додатка.
Географічний розподіл та масштаб впливу
Аналіз скомпрометованих даних показав, що більшість постраждалих пристроїв знаходилися в країнах Латинської Америки та Азії. Найбільша кількість жертв зафіксована в Мексиці, Колумбії, Індії, Перу, Аргентині, Еквадорі та Болівії.
Особливе занепокоєння викликає факт, що деякі пристрої були заражені Catwatchful ще у 2018 році, що свідчить про тривалий період незаконного збору персональних даних користувачів.
Ідентифікація розробника та реакція індустрії
Завдяки виявленій уразливості дослідник зміг встановити особу створювача шпигунського додатка. Ним виявився Омар Сок Чарков з Уругваю, контактні дані якого також опинилися в скомпрометованій базі даних.
Після публікації результатів дослідження компанія Google оперативно впровадила додаткові засоби захисту в Play Protect для попередження користувачів про виявлення Catwatchful на їхніх пристроях. Хостинг-провайдер заблокував порушуючий правила акаунт, проте розробники швидко перенесли API до іншого провайдера.
Методи виявлення та захист від загрози
Незважаючи на заяви розробників про неможливість виявлення, користувачі Android можуть самостійно перевірити наявність додатка на своїх пристроях. Для цього необхідно набрати комбінацію “543210” і натиснути кнопку виклику.
Цей вбудований бекдор, призначений для видалення шпигунського ПЗ, примусово розкриє присутність Catwatchful у системі. Додатково рекомендується регулярно оновлювати системи безпеки та використовувати антивірусні рішення.
Цей інцидент наочно демонструє серйозні ризики, пов’язані з використанням сталкерського програмного забезпечення. Відсутність належного захисту в подібних додатках не лише порушує права жертв стеження, але й піддає небезпеці самих користувачів шпигунського софту. Регулярне оновлення систем безпеки та обізнаність про методи виявлення шкідливих програм залишаються ключовими факторами захисту від подібних загроз у сучасному цифровому середовищі.
