Очередной разработчик правительственного шпионского программного обеспечения разоблачен в распространении фейковых Android-приложений, через которые осуществляется слежка за пользователями. Как установили эксперты итальянской организации Osservatorio Nessuno, компании-производители шпионских ПО активно используют поддельные приложения для заражения устройств жертв.
Об этом сообщает ProIT
Новый шпионский инструмент Morpheus и его распространение
Согласно недавнему исследованию Osservatorio Nessuno, новое вредоносное программное обеспечение Morpheus маскируется под приложение для обновления телефона. Оно способно похищать широкий спектр данных с устройства жертвы. Исследователи отмечают, что спрос на подобные решения среди правоохранительных и разведывательных органов остается очень высоким, что способствует появлению многочисленных компаний, которые разрабатывают и поставляют такую технологию, часто оставаясь вне поля зрения общественности.
Morpheus связывают с итальянской компанией IPS, которая более 30 лет занимается разработкой легальных инструментов для перехвата коммуникаций, используемых правительствами для доступа к данным в сетях мобильных операторов и интернет-провайдеров. По информации с официального сайта IPS, компания имеет представительства в более чем 20 странах и сотрудничает с рядом итальянских правоохранительных органов. В то же время существование именно шпионского ПО оставалось тайной до появления доклада Osservatorio Nessuno.
Техника заражения и особенности Morpheus
Исследователи характеризуют Morpheus как «дешевое» шпионское ПО, поскольку оно использует простую схему заражения — жертва сама устанавливает вредоносное приложение, поверив в ложную информацию. В отличие от более технологичных решений, например, продуктов NSO Group или Paragon Solutions, которые используют незаметные «атаки без клика» через сложные уязвимости, Morpheus требует взаимодействия пользователя.
В этом случае специалисты выяснили, что к заражению привлекали мобильного оператора жертвы, который намеренно блокировал мобильный интернет. После этого оператор отправлял SMS с ссылкой на «обновление», которое якобы позволяет восстановить доступ к сети. Такая тактика уже использовалась другими итальянскими разработчиками шпионских программ.
После установки Morpheus получал доступ к функциям доступности Android, что позволяло ему считывать информацию с экрана, взаимодействовать с другими приложениями и получать широкий объем конфиденциальных данных.
«После установки шпионское ПО имитировало обновление, показывало экран перезагрузки, а затем подделывало приложение WhatsApp и просило пользователя подтвердить свою личность с помощью биометрии. При этом биометрический дотик предоставлял шпионскому ПО полный доступ к аккаунту WhatsApp, добавляя устройство к аккаунту».
Исследования подтвердили использование подобной тактики правительственными хакерами в Украине и во время недавней шпионской кампании в Италии.
Изучение инфраструктуры Morpheus позволило экспертам Osservatorio Nessuno — Давиде и Джулио — сделать вывод, что ПО принадлежит IPS. В частности, один из IP-адресов, задействованных в кампании, был зарегистрирован на «IPS Intelligence Public Security». Также в коде вредоносного приложения были найдены фразы на итальянском языке, в том числе упоминания о «Gomorra» и «spaghetti», что стало своеобразной традицией среди итальянских разработчиков шпионских программ.
Давиде и Джулио отметили, что не могут раскрывать личность целевого пользователя, но считают, что атака связана с политическим активизмом в Италии, где подобные атаки стали привычным явлением.
Специалисты по кибербезопасности подтвердили, что Morpheus действительно разработан итальянским производителем технологий для наблюдения. IPS продолжает традиции бывшей компании Hacking Team, которая ранее доминировала на местном рынке шпионских ПО, а также других итальянских компаний, таких как CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab и SIO.
Напомним, что ранее в этом месяце WhatsApp предупредил около 200 пользователей, которые установили поддельную версию приложения, которая на самом деле была шпионским ПО от SIO. В 2021 году итальянские прокуроры прекратили использование продуктов CY4GATE и SIO из-за серьезных сбоев.