Cache yang sangat besar dari data yang bocor mengungkapkan cara kerja operasi stalkerware yang memata-matai ratusan ribu orang di seluruh dunia, termasuk orang Amerika.

Data yang bocor termasuk log panggilan, pesan teks, data lokasi granular, dan data perangkat pribadi lainnya dari korban yang tidak curiga yang ponsel dan tablet Androidnya disusupi oleh armada aplikasi stalkerware yang hampir identik, termasuk TheTruthSpy, Copy9, MxSpy, dan lainnya.

Aplikasi Android ini ditanam oleh seseorang dengan akses fisik ke perangkat seseorang dan dirancang untuk tetap tersembunyi di layar beranda mereka, tetapi akan terus mengunggah konten ponsel secara diam-diam tanpa sepengetahuan pemiliknya.

Beberapa bulan setelah kami menerbitkan penyelidikan kami yang mengungkap operasi stalkerware, sebuah sumber memberi TechCrunch puluhan gigabyte data yang dibuang dari server stakerware. Cache berisi basis data inti operasi penguntit, yang mencakup catatan mendetail pada setiap perangkat Android yang disusupi oleh salah satu aplikasi penguntit di jaringan TheTruthSpy sejak awal 2019 (walaupun beberapa catatan bertanggal lebih awal) dan data perangkat apa yang dicuri.

Mengingat bahwa para korban tidak tahu bahwa data perangkat mereka dicuri, TechCrunch mengekstraksi setiap pengidentifikasi perangkat unik dari database yang bocor dan membuat alat pencarian untuk memungkinkan siapa saja memeriksa apakah perangkat mereka disusupi oleh salah satu aplikasi stalkerware hingga April 2022, yang mana adalah saat data dibuang.

TechCrunch telah menganalisis sisa database. Menggunakan perangkat lunak pemetaan untuk analisis geospasial, kami memplot ratusan ribu titik data lokasi dari database untuk memahami skalanya. Analisis kami menunjukkan jaringan TheTruthSpy sangat besar, dengan korban di setiap benua dan di hampir setiap negara. Tapi stalkerware seperti TheTruthSpy beroperasi di wilayah abu-abu legal yang mempersulit pihak berwenang di seluruh dunia untuk memerangi, meskipun ancaman yang ditimbulkannya terhadap para korban semakin meningkat.

Pertama, sepatah kata tentang data. Basis data berukuran sekitar 34 gigabita dan terdiri dari metadata, seperti waktu dan tanggal, serta konten berbasis teks, seperti log panggilan, pesan teks, dan data lokasi — bahkan nama jaringan Wi-Fi yang terhubung dengan perangkat dan apa yang disalin dan ditempel dari clipboard ponsel, termasuk kata sandi dan kode autentikasi dua faktor. Basis data tidak berisi media, gambar, video, atau rekaman panggilan yang diambil dari perangkat korban, melainkan mencatat informasi tentang setiap file, seperti kapan foto atau video diambil, dan kapan panggilan direkam, dan berapa lama, memungkinkan kami untuk tentukan berapa banyak konten yang diambil dari perangkat korban dan kapan. Setiap perangkat yang disusupi mengunggah jumlah data yang bervariasi tergantung pada berapa lama perangkat mereka disusupi dan jangkauan jaringan yang tersedia.

TechCrunch memeriksa data mulai dari 4 Maret hingga 14 April 2022, atau enam minggu dari data terbaru yang disimpan di database pada saat data tersebut bocor. Ada kemungkinan server TheTruthSpy hanya menyimpan beberapa data, seperti log panggilan dan data lokasi, selama beberapa minggu, tetapi konten lain, seperti foto dan pesan teks, lebih lama.

Inilah yang kami temukan.

Peta ini menunjukkan enam minggu data lokasi kumulatif yang diplot pada peta Amerika Utara. Data lokasi sangat terperinci dan menunjukkan korban di kota-kota besar, pusat kota, dan bepergian dengan jalur transportasi utama. Kredit Gambar: TechCrunch

Basis data memiliki sekitar 360.000 pengidentifikasi perangkat unik, termasuk nomor IMEI untuk ponsel dan ID iklan untuk tablet. Jumlah ini menunjukkan berapa banyak perangkat yang disusupi oleh operasi hingga saat ini dan berapa banyak orang yang terpengaruh. Basis data juga berisi alamat email setiap orang yang mendaftar untuk menggunakan salah satu dari banyak aplikasi TheTruthSpy dan mengkloning stalkerware dengan maksud untuk menanamnya di perangkat korban, atau sekitar 337.000 pengguna. Itu karena beberapa perangkat mungkin telah disusupi lebih dari sekali (atau oleh aplikasi lain di jaringan stalkerware), dan beberapa pengguna memiliki lebih dari satu perangkat yang disusupi.

Sekitar 9.400 perangkat baru disusupi selama rentang enam minggu, menurut analisis kami, berjumlah ratusan perangkat baru setiap hari.

Basis data menyimpan 608.966 titik data lokasi selama periode enam minggu yang sama. Kami memplot data dan membuat selang waktu untuk menunjukkan penyebaran kumulatif dari perangkat yang diketahui disusupi di seluruh dunia. Kami melakukan ini untuk memahami seberapa luas operasi TheTruthSpy. Animasi diperbesar ke tingkat dunia untuk melindungi privasi individu, tetapi datanya sangat terperinci dan menunjukkan korban di pusat transportasi, tempat ibadah, dan lokasi sensitif lainnya.

Secara perincian, Amerika Serikat menempati peringkat pertama dengan titik data lokasi terbanyak (278.861) dari negara lain mana pun selama rentang enam minggu. India memiliki titik data lokasi terbanyak kedua (77.425), india ketiga (42.701), Argentina keempat (19.015) dan Inggris Raya (12.801) kelima.

Kanada, Nepal, Israel, Ghana, dan Tanzania juga termasuk dalam 10 negara teratas berdasarkan volume data lokasi.

Peta ini menunjukkan jumlah total lokasi yang diberi peringkat berdasarkan negara. AS memiliki titik data lokasi terbanyak di 278.861 selama rentang enam minggu, diikuti oleh India, Indonesia, dan Argentina, yang masuk akal mengingat wilayah geografis dan populasi mereka yang sangat besar. Kredit Gambar: TechCrunch

Basis data berisi total 1,2 juta pesan teks, termasuk nama kontak penerima, dan 4,42 juta log panggilan selama rentang enam minggu, termasuk catatan terperinci tentang siapa yang menelepon siapa, untuk berapa lama, serta nama dan nomor telepon kontak mereka.

TechCrunch telah melihat bukti bahwa data kemungkinan besar dikumpulkan dari ponsel anak-anak.

Aplikasi stalkerware ini juga mencatat konten dari ribuan panggilan selama enam minggu, menurut data tersebut. Basis data berisi 179.055 entri file rekaman panggilan yang disimpan di server TheTruthSpy lainnya. Analisis kami mengkorelasikan catatan dengan tanggal dan waktu perekaman panggilan dengan data lokasi yang disimpan di tempat lain dalam database untuk menentukan di mana panggilan direkam. Kami berfokus pada negara bagian AS yang memiliki undang-undang perekaman panggilan telepon yang lebih ketat, yang mengharuskan lebih dari satu orang (atau setiap orang) di telepon setuju bahwa panggilan tersebut dapat direkam atau melanggar undang-undang penyadapan negara bagian. Sebagian besar negara bagian AS memiliki undang-undang yang mengharuskan setidaknya satu orang menyetujui perekaman, tetapi pada dasarnya perangkat penguntit dirancang untuk bekerja tanpa sepengetahuan korban sama sekali.

Kami menemukan bukti bahwa 164 perangkat yang disusupi di 11 negara bagian mencatat ribuan panggilan selama rentang enam minggu tanpa sepengetahuan pemilik perangkat. Sebagian besar perangkat berada di negara bagian padat penduduk seperti California dan Illinois.

TechCrunch mengidentifikasi 164 perangkat unik yang merekam panggilan telepon korban selama periode enam minggu dan berlokasi di negara bagian di mana undang-undang perekaman telepon termasuk yang paling ketat di Amerika Serikat. California memimpin dengan 76 perangkat, diikuti oleh Pennsylvania dengan 17 perangkat, Washington dengan 16 perangkat, dan Illinois dengan 14 perangkat. Kredit Gambar: TechCrunch

Basis data juga berisi 473.211 catatan foto dan video yang diunggah dari ponsel yang disusupi selama enam minggu, termasuk tangkapan layar, foto yang diterima dari aplikasi perpesanan dan disimpan ke rol kamera, dan nama file, yang dapat mengungkapkan informasi tentang file tersebut. Basis data juga berisi 454.641 catatan data yang disedot dari keyboard pengguna, yang dikenal sebagai keylogger, yang mencakup kredensial sensitif dan kode yang ditempelkan dari pengelola kata sandi dan aplikasi lain. Ini juga mencakup 231.550 catatan jaringan yang terhubung ke setiap perangkat, seperti nama jaringan Wi-Fi hotel, tempat kerja, apartemen, bandara, dan lokasi lain yang dapat ditebak.

Operasi TheTruthSpy adalah yang terbaru dari rangkaian panjang aplikasi stalkerware untuk mengekspos data korban karena kelemahan keamanan yang kemudian menyebabkan pelanggaran.

Meskipun kepemilikan aplikasi stalkerware tidak ilegal, menggunakannya untuk merekam panggilan dan percakapan pribadi orang tanpa persetujuan mereka adalah ilegal berdasarkan undang-undang penyadapan federal dan banyak undang-undang negara bagian. Tetapi meskipun menjual aplikasi pemantauan telepon hanya ilegal untuk alasan merekam pesan pribadi, banyak aplikasi stalkerware dijual dengan kedok perangkat lunak pemantauan anak, namun sering disalahgunakan untuk memata-matai telepon pasangan dan mitra rumah tangga tanpa disadari.

Sebagian besar upaya melawan stalkerware dipimpin oleh perusahaan keamanan siber dan vendor antivirus yang bekerja untuk memblokir malware yang tidak diinginkan dari perangkat pengguna. Coalition Against Stalkerware, yang diluncurkan pada tahun 2019, membagikan sumber daya dan sampel dari stalkerware yang diketahui sehingga informasi tentang ancaman baru dan yang muncul dapat dibagikan dengan perusahaan keamanan siber lainnya dan secara otomatis diblokir di tingkat perangkat. Situs web koalisi memiliki lebih banyak tentang apa yang dapat dilakukan perusahaan teknologi untuk mendeteksi dan memblokir stalkerware.

Tetapi hanya segelintir operator stalkerware, seperti Retina X dan SpyFone, yang menghadapi hukuman dari regulator federal seperti Komisi Perdagangan Federal (FTC) karena memungkinkan pengawasan berskala luas, yang mengandalkan penggunaan pendekatan hukum baru untuk mengajukan tuntutan dengan alasan keamanan siber yang buruk. praktik dan pelanggaran data yang berada lebih dekat dalam lingkup peraturan mereka.

Ketika dihubungi untuk dimintai komentar oleh TechCrunch sebelum publikasi, juru bicara FTC mengatakan agensi tersebut tidak berkomentar apakah sedang menyelidiki masalah tertentu.

Jika Anda atau seseorang yang Anda kenal membutuhkan bantuan, Hotline Kekerasan Dalam Rumah Tangga Nasional (1-800-799-7233) memberikan dukungan rahasia 24/7 gratis kepada para korban kekerasan dan kekerasan dalam rumah tangga. Jika Anda berada dalam situasi darurat, hubungi 911. Koalisi Melawan Penguntit juga memiliki sumber daya jika menurut Anda ponsel Anda telah disusupi oleh spyware. Anda dapat menghubungi reporter ini di Signal dan WhatsApp di +1 646-755-8849 atau [email protected] melalui email.