Ще одного розробника шпигунського софта викрили на поширенні програм для стеження за Android
Згідно з новим звітом, ще одного виробника урядового шпигунського програмного забезпечення було спіймано після того, як його клієнти використовували підроблені програми для Android для встановлення його програмного забезпечення для спостереження на цілі.
У четвер Osservatorio Nessuno, італійська організація з цифрових прав, яка досліджує шпигунські програми, опублікувала звіт про нове шкідливе програмне забезпечення під назвою Morpheus. Шпигунське програмне забезпечення, яке маскується під додаток для оновлення телефону, здатне красти широкий спектр даних з пристрою цільової аудиторії.
Висновки дослідників показують, що попит на шпигунське програмне забезпечення з боку правоохоронних органів та розвідувальних служб настільки високий, що існує велика кількість компаній, що надають цю технологію, деякі з яких працюють поза межами уваги громадськості.
У цьому випадку Osservatorio Nessuno дійшла висновку, що шпигунське програмне забезпечення пов'язане з IPS, італійською компанією, яка працює понад 30 років, надаючи традиційну так звану технологію законного перехоплення, тобто інструменти, що використовуються урядами для перехоплення комунікацій людини в режимі реального часу, що проходять через мережі телефонних та інтернет-провайдерів.
Згідно з вебсайтом IPS , компанія працює у понад 20 країнах, хоча це, ймовірно, не стосується її шпигунського продукту, який до сьогодні був секретом. Серед своїх клієнтів компанія називає кілька італійських поліцейських сил.
Дослідники назвали Morpheus «дешевим» шпигунським програмним забезпеченням, оскільки воно спирається на рудиментарний механізм зараження, який обманом змушує ціль самостійно встановлювати шпигунське програмне забезпечення.
Більш просунуті виробники шпигунського програмного забезпечення для уряду, такі як NSO Group та Paragon Solutions , дозволяють своїм урядовим клієнтам заражати цілі за допомогою невидимих методів, відомих як атаки з нульовим кліком , які встановлюють шкідливе програмне забезпечення абсолютно приховано та непомітно, використовуючи дорогі та важкодоступні вразливості, що проривають захист пристрою.
У цьому випадку, за словами дослідників, владі допоміг оператор мобільного зв'язку жертви, який почав навмисно блокувати мобільні дані жертви. У цей момент оператор зв'язку надіслав жертві SMS-повідомлення з пропозицією встановити додаток, який мав допомогти оновити телефон і відновити доступ до стільникових даних. Ця стратегія була добре задокументована в інших випадках, пов'язаних з іншими італійськими виробниками шпигунського програмного забезпечення.
Після встановлення шпигунське програмне забезпечення зловживало вбудованими функціями доступності Android, що дозволяє шпигунському програмному забезпеченню зчитувати дані на екрані жертви та взаємодіяти з іншими програмами. За словами дослідників, шкідливе програмне забезпечення було розроблено для доступу до всілякої інформації на пристрої.
Потім шпигунське програмне забезпечення ініціювало фальшиве оновлення, показувало цілі екран перезавантаження та, нарешті, підробляло додаток WhatsApp, просячи ціль надати свої біометричні дані, щоб довести свою особу. Без відома цілі біометричне прослуховування надавало шпигунському програмному забезпеченню повний доступ до її облікового запису WhatsApp, додаючи пристрій до облікового запису. Це відома стратегія, яку використовують урядові хакери в Україні , а також у нещодавній шпигунській кампанії в Італії .
Стара компанія з новим шпигунським програмним забезпеченням
Дослідники Osservatorio Nessuno, які попросили називати лише свої імена, Давіде та Джуліо, дійшли висновку, що шпигунське програмне забезпечення належить IPS, виходячи з його інфраструктури.
Зокрема, одна з IP-адрес, що використовувалася в кампанії, була зареєстрована на «IPS Intelligence Public Security».
Вони також знайшли кілька фрагментів коду, що містили італійські фрази — те, що, схоже, стало традицією серед італійської індустрії шпигунського програмного забезпечення. Код шкідливого програмного забезпечення містив слова італійською мовою, зокрема посилання на «Гоморру», відому книгу та телешоу про неаполітанську мафію, та слово «спагеті».
Давіде та Джуліо розповіли TechCrunch, що вони не можуть надати конкретну інформацію про те, хто був цільовою групою, але сказали, що вважають атаку «пов’язаною з політичним активізмом» в Італії, світі, де «такий тип цілеспрямованих атак дуже поширений у наші дні».
Дослідник фірми з кібербезпеки повідомив TechCrunch, що їхня компанія відстежує це конкретне шкідливе програмне забезпечення. Після ознайомлення зі звітом Osservatorio Nessuno дослідник заявив, що шкідливе програмне забезпечення безумовно розроблене італійським виробником технологій спостереження.
IPS — останній у довгому списку італійських виробників шпигунського програмного забезпечення, які заповнили порожнечу, що залишилася після давно неіснуючої італійської компанії Hacking Team, одного з перших виробників шпигунського програмного забезпечення у світі. Компанія контролювала значну частку місцевого ринку, окрім продажів за кордон, до того, як її було зламано, а пізніше продано та перейменовано. В останні роки дослідники публічно викрили кількох італійських виробників шпигунського програмного забезпечення, включаючи CY4GATE , eSurv , GR Sistemi , Movia , Negg , Raxir , RCS Lab і нещодавно SIO .
Раніше цього місяця WhatsApp повідомив близько 200 користувачів , які встановили підроблену версію програми, яка насправді була шпигунським програмним забезпеченням, створеним SIO. У 2021 році італійська прокуратура призупинила використання шпигунського програмного забезпечення CY4GATE та SIO через серйозні несправності.