Видео: rytp баÑбоÑÐºÐ¸Ð½Ñ Ð±ÐµÐ· маÑа VIDEOMEGA RU (Ноябрь 2024)
Исследователи в области безопасности проанализировали и проанализировали мобильные компоненты коммерческих программ-шпионов, используемых правительствами всего мира, которые можно использовать для тайной записи и кражи данных с мобильных устройств.
Разработанные итальянской компанией Hacking Team мобильные модули для системы удаленного управления позволяют правоохранительным органам и спецслужбам выполнять широкий спектр действий по наблюдению на устройствах Android, iOS, Windows Mobile и BlackBerry, считают исследователи из Лаборатории Касперского и Citizen Lab. в Munk School of Global Affairs при университете Торонто. Hacking Team продает RCS, также известные как Da Vinci и Galileo, правительствам, чтобы шпионить за настольными компьютерами, ноутбуками и мобильными устройствами. В некоторых странах RCS используется для слежки за политическими диссидентами, журналистами, правозащитниками и политическими деятелями.
Исследователи «Лаборатории Касперского» и Citizen Lab совместно провели реверс-инжиниринг мобильных модулей, а Morgan Marquis-Boire из «Citizen Lab» и Сергей Голованов из «Касперского» представили свои результаты на пресс-конференции во вторник в Лондоне.
«Уже давно известно, что продукты HackingTeam включают вредоносные программы для мобильных телефонов. Однако их редко можно увидеть», - написал Голованов в блоге Securelist.
Что может сделать RCS
Компоненты iOS и Android могут регистрировать нажатия клавиш, получать данные истории поиска и позволяют скрытно собирать электронные письма, текстовые сообщения (даже те, которые отправляются из таких приложений, как WhatsApp), историю вызовов и адресные книги. Они могут делать скриншоты экрана жертвы, делать снимки с помощью камеры телефона или включать GPS, чтобы отслеживать местоположение жертвы. Они также могут включить микрофон для записи телефонных звонков и звонков Skype, а также разговоров, происходящих в непосредственной близости от устройства.
«Тайная активация микрофона и регулярные снимки с камеры обеспечивают постоянное наблюдение за целью, что намного мощнее, чем традиционные операции с плащом и кинжалом», - писал Голованов.
Исследователи утверждают, что мобильные компоненты создаются специально для каждой цели. «Как только образец готов, злоумышленник доставляет его на мобильное устройство жертвы. Некоторые из известных векторов заражения включают в себя фишинг через социальную инженерию - часто в сочетании с эксплойтами, в том числе с нулевыми днями, и локальные инфекции через USB-кабели при синхронизации мобильного устройства. устройства ", сказал Голованов.
Длинная рука наблюдения
RCS обладает огромным глобальным охватом: исследователи находят идентифицирующие 326 серверов в более чем 40 странах. Большинство командных серверов были размещены в Соединенных Штатах, а затем в Казахстане, Эквадоре, Великобритании и Канаде. По словам исследователей, тот факт, что командные серверы находятся в этих странах, не обязательно означает, что правоохранительные органы в этих странах используют RCS.
«Тем не менее, для пользователей RCS имеет смысл развертывать C & C в местах, которые они контролируют - там, где есть минимальные риски трансграничных правовых проблем или конфискации серверов», - сказал Голованов.
Последние результаты основаны на более раннем отчете от марта, где исследователи обнаружили, что по крайней мере 20 процентов инфраструктуры RCS расположены в дюжине центров обработки данных в Соединенных Штатах.
Сокрытие в невидимом режиме
Исследователи из Citizen Lab обнаружили полезную нагрузку Hacking Team в приложении для Android, которое оказалось копией Qatif Today, арабского новостного приложения. Такая тактика, когда вредоносные данные внедряются в копии легальных приложений, довольно распространена в мире Android. Полезная нагрузка пытается использовать уязвимость в более старых версиях операционной системы Android для получения корневого доступа на устройстве.
«Хотя этот эксплойт не будет эффективен в отношении последней версии операционной системы Android, большой процент пользователей по-прежнему используют устаревшие версии, которые могут быть уязвимы», - пишут исследователи из Citizen Lab в своем блоге.
И в модулях Android, и в iOS используются передовые методы, позволяющие избежать разрядки аккумулятора телефона, ограничения при выполнении определенных задач определенными условиями и осторожной работы, чтобы жертвы не знали об этом. Например, микрофон может быть включен, и аудиозапись может быть сделана только тогда, когда жертва подключена к определенной сети Wi-Fi, сказал Голованов.
Исследователи обнаружили, что модуль iOS влияет только на взломанные устройства. Однако, если устройство iOS подключено к компьютеру, зараженному версией программного обеспечения для настольного компьютера или ноутбука, вредоносная программа может удаленно запускать инструменты для джейлбрейка, такие как Evasi0n, для загрузки вредоносного модуля. Все это будет сделано без ведома жертвы.
Citizen Lab также получила копию руководства пользователя Hacking Team из анонимного источника. В документе подробно объясняется, как создать инфраструктуру наблюдения для доставки вредоносных полезных данных жертвам, как управлять разведывательными данными, полученными с устройств-жертв, и даже как получить сертификаты для подписи кода.
Например, в руководстве предлагается использовать Verisign, Thawte и GoDaddy для сертификатов. Злоумышленникам предлагается приобрести «Сертификат разработчика» непосредственно в TrustCenter, если цель будет использовать устройство Symbian, и зарегистрировать учетную запись Microsoft и учетную запись Центра разработки Windows Phone для заражения Windows Phone.
Предположение, лежащее в основе этого вида программного обеспечения для наблюдения, заключается в том, что покупатели будут использовать эти инструменты главным образом в правоохранительных целях, и что у криминальных элементов не будет к ним доступа. Однако тот факт, что они доступны, означает, что они могут быть использованы против политически мотивированных целей, что имеет серьезные последствия для общей безопасности и конфиденциальности.