Os usuários do dispositivo de castidade Qiui Cellmate controlado por Bluetooth foram alvos de um ataque com esse malware no ano passado, depois que pesquisadores de segurança encontraram uma vulnerabilidade no brinquedo que permitia travá-lo remotamente.
Qiui Cellmante é um brinquedo sexual conectado com um aplicativo complementar para controlar seu bloqueio/desbloqueio via Bluetooth, que normalmente é gerenciado por outra pessoa que não a pessoa que está usando o dispositivo.
Em outubro de 2020, pesquisadores da Pen Test Partners publicaram detalhes sobre uma vulnerabilidade grave que permitiu a um atacante remoto assumir o controle de qualquer dispositivo Qiui Cellmate.
Eles descobriram que fazer uma solicitação a qualquer endpoint da API não exigia autenticação e que usar um "código de amigo" de seis dígitos retornaria "uma grande quantidade de informações sobre aquele usuário", como localização, número de telefone, senha em texto simples.
"Um invasor não levaria mais do que alguns dias para extrair todo o banco de dados do usuário e usá-lo para chantagem ou phishing", escreveu a Pen Test Partners em seu relatório.
Após a divulgação, um invasor começou a ter como alvo os usuários do aplicativo móvel Qiui Cellmate que controlavam o brinquedo inteligente e travaram o dispositivo de castidade. As vítimas então eram chategeadas, o hacker exigia 0,02 bitcoins, cerca de US$270 na época dos ataques, para desbloquear os cintos de castidade.
O fundador do grupo de pesquisa VXUnderground disse ao pessoal do BleepingComputer que publicou o código-fonte do ransomware ChastityLock depois de recebê-lo de alguém que foi chantegeado pelo invasor.
O malware inclui um código que se comunica com os endpoints da API do Qiui para enumerar informações do usuário e enviar mensagens para o aplicativo da vítima e adicionar amigos, de acordo com a análise do pesquisador de segurança Ax Sharma.
Logo após o início dos ataques, uma enxurrada de reclamações vieram de usuários vítimas relatando que não podiam mais controlar o brinquedo adulto inteligente. Alguns deles foram vítimas do invasor várias vezes.
Alguns usuários ficaram preocupados com o fato de que a única maneira de remover o dispositivo Cellmate era cortá-lo, já que não havia substituição manual para o bloqueio do Bluetooth. No entanto, o corte do aço endurecido usado para a fechadura exigia uma rebarbadora e, dada a área sensível, estava longe de ser uma opção para as vítimas.
Felizmente, algumas possibilidades de fuga de emergência estavam disponíveis. Um deles era entrar em contato com o suporte remoto e pedir-lhes para desbloquear e reiniciar o Cellmate. Outra envolveu apenas uma chave de fenda para desbloquear o dispositivo manualmente, e Qiui postou um vídeo mostrando como fazer isso. Este último anularia da garantia do produto.