Черговий розробник урядового шпигунського програмного забезпечення викритий у розповсюдженні фейкових Android-додатків, через які здійснюється стеження за користувачами. Як встановили експерти італійської організації Osservatorio Nessuno, компанії-виробники шпигунських ПЗ активно використовують підроблені застосунки для зараження пристроїв жертв.
Про це розповідає ProIT
Новий шпигунський інструмент Morpheus і його розповсюдження
Згідно з нещодавнім дослідженням Osservatorio Nessuno, нове шкідливе програмне забезпечення Morpheus маскується під додаток для оновлення телефону. Воно здатне викрадати широкий спектр даних із пристрою жертви. Дослідники відзначають, що попит на подібні рішення серед правоохоронних та розвідувальних органів залишається дуже високим, що сприяє появі численних компаній, які розробляють і постачають таку технологію, часто залишаючись поза полем зору громадськості.
Morpheus пов’язують із італійською компанією IPS, яка понад 30 років займається розробкою легальних інструментів для перехоплення комунікацій, що використовуються урядами для доступу до даних у мережах мобільних операторів та інтернет-провайдерів. За інформацією з офіційного сайту IPS, компанія має представництва у понад 20 країнах і співпрацює з низкою італійських правоохоронних органів. Водночас існування саме шпигунського ПЗ залишалося таємницею до появи доповіді Osservatorio Nessuno.
Техніка зараження та особливості Morpheus
Дослідники характеризують Morpheus як «дешеве» шпигунське ПЗ, оскільки воно використовує просту схему зараження — жертва сама встановлює шкідливий додаток, повіривши у неправдиву інформацію. На відміну від більш технологічних рішень, наприклад, продуктів NSO Group або Paragon Solutions, які використовують непомітні «атаки без кліку» через складні вразливості, Morpheus вимагає взаємодії користувача.
У цьому випадку фахівці з’ясували, що до зараження залучали мобільного оператора жертви, який навмисно блокував мобільний інтернет. Після цього оператор надсилав SMS із посиланням на «оновлення», що нібито дозволяє відновити доступ до мережі. Така тактика вже використовувалася іншими італійськими розробниками шпигунських програм.
Після встановлення Morpheus отримував доступ до функцій доступності Android, що дозволяло йому зчитувати інформацію з екрану, взаємодіяти з іншими додатками та отримувати широкий обсяг конфіденційних даних.
“Після встановлення шпигунське ПЗ імітувало оновлення, показувало екран перезавантаження, а потім підробляло додаток WhatsApp і просило користувача підтвердити свою особу за допомогою біометрії. При цьому біометричний дотик надавав шпигунському ПЗ повний доступ до облікового запису WhatsApp, додаючи пристрій до акаунту”.
Дослідження засвідчили використання подібної тактики урядовими хакерами в Україні та під час нещодавньої шпигунської кампанії в Італії.
Вивчення інфраструктури Morpheus дозволило експертам Osservatorio Nessuno — Давіде та Джуліо — зробити висновок, що ПЗ належить IPS. Зокрема, одна з IP-адрес, задіяних у кампанії, була зареєстрована на «IPS Intelligence Public Security». Також у коді шкідливого додатка було знайдено фрази італійською мовою, зокрема згадки про «Gomorra» та «spaghetti», що стало своєрідною традицією серед італійських розробників шпигунських програм.
Давіде та Джуліо зазначили, що не можуть розкривати особу цільового користувача, але вважають, що атака пов’язана з політичним активізмом в Італії, де подібні атаки стали звичним явищем.
Фахівці з кібербезпеки підтвердили, що Morpheus дійсно розроблений італійським виробником технологій для спостереження. IPS продовжує традиції колишньої компанії Hacking Team, яка раніше домінувала на місцевому ринку шпигунських ПЗ, а також інших італійських компаній, таких як CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab та SIO.
Нагадаємо, що раніше цього місяця WhatsApp попередив близько 200 користувачів, які встановили підроблену версію додатка, що насправді була шпигунським ПЗ від SIO. У 2021 році італійські прокурори припинили використання продуктів CY4GATE та SIO через серйозні збої.