Uma vulnerabilidade considerada crítica no aplicativo de espionagem telefônica TheTruthSpy permite que qualquer pessoa redefina senhas de usuários e assuma o controle completo das contas, comprometendo informações pessoais de milhares de vítimas. A falha foi identificada pelo pesquisador de segurança independente Swarang Wade e confirmada pelo portal TechCrunch.
Ao explorar o defeito, Wade conseguiu alterar as credenciais de várias contas de teste fornecidas pela reportagem, demonstrando que o problema afeta todo o ecossistema de apps Android ligados ao TheTruthSpy, como Copy9, além de marcas já descontinuadas, entre elas iSpyoo e MxSpy.
O diretor da operação, Van (Vardy) Thieu, reconheceu a falha, mas afirmou ter perdido o código-fonte e, portanto, não conseguir corrigi-la. Até o momento da publicação, a brecha permanece ativa.
Histórico de incidentes
Esta é a quarta ocorrência de segurança envolvendo o TheTruthSpy, desenvolvido pela empresa vietnamita 1Byte Software. Em 2021, um erro de configuração expôs dados de cerca de 400 mil aparelhos monitorados, incluindo mensagens, fotos, registros de chamadas e localização. Em 2023, outro vazamento liberou informações de mais 50 mil vítimas.
Documentos obtidos anteriormente pelo TechCrunch revelaram que os operadores do software também mantinham um esquema de lavagem de dinheiro para contornar restrições impostas por processadoras de cartão, movimentando milhões de dólares em pagamentos ilícitos.
Rebranding e persistência do risco
Apesar de partes da operação terem sido encerradas ou renomeadas para escapar de críticas, o código vulnerável continua ativo. O TheTruthSpy passou a ser comercializado sob a marca PhoneParental e, mais recentemente, como MyPhones.app, mas ambas as plataformas utilizam a mesma infraestrutura de backend, o JFramework (antigo Jexpa Framework), desenvolvida por Thieu.
O TechCrunch contabiliza ao menos 26 operações de spyware que sofreram vazamentos ou exposições de dados nos últimos anos, reforçando preocupações sobre a segurança — ou falta dela — dessas ferramentas, frequentemente instaladas sem o consentimento dos alvos.
Assistência a possíveis vítimas
Quem suspeitar de monitoramento não autorizado pode consultar o guia do TechCrunch sobre como identificar e remover stalkerware. Nos Estados Unidos, a National Domestic Violence Hotline atende 24 horas pelo número 1-800-799-7233. Em situações de emergência, a recomendação é ligar para o serviço de emergência local.
Com informações de TechCrunch