В Google Play Маркет и магазине приложений Samsung были обнаружены фейковые приложения, маскирующиеся под популярные мессенджеры Signal и Telegram. Эти вредоносные приложения могут перехватывать сообщения и другую конфиденциальную информацию из настоящих аккаунтов пользователей.

Источник изображения: Mohamed_hassan / Pixabay

Исследователи обнаружили, что приложение под названием Signal Plus Messenger было доступно в Google Play Маркете в течение 9 месяцев и было загружено примерно 100 раз до того, как Google удалил его в апреле прошлого года. Это произошло после того, как о вредоносном приложении сообщила компания ESET, специализирующаяся на разработке антивирусного ПО и решений в области информационной безопасности.

Похожее приложение под названием FlyGram было создано той же группой злоумышленников и также было доступно через Google Play Маркет, магазин приложений Samsung и собственный сайт. Несмотря на удаление из Google Play Маркет, оба приложения по-прежнему доступны в магазине Samsung.

Вредоносные приложения были созданы на основе открытого исходного кода Signal и Telegram. В этот код был встроен шпионский инструмент, известный как BadBazaar. Этот троян связан с хакерской группой GREF, которая, предположительно, имеет отношение к Китаю. Ранее BadBazaar использовался для атак на уйгуров и другие тюркские этнические меньшинства.

Процесс загрузки трояном BadBazaar информации о заражённом устройстве на сервер злоумышленников (источник изображения: ESET)

Signal Plus Messenger мог отслеживать отправленные и полученные сообщения и контакты, если пользователи подключали своё устройство к своему настоящему номеру в Signal. Это приводило к тому, что вредоносное приложение отправляло большое количество личной информации злоумышленникам, включая номер IMEI устройства, номер телефона, адрес MAC, данные оператора, данные о местоположении, информацию о Wi-Fi, электронные адреса Google-аккаунтов, список контактов и PIN-код, используемый для передачи текстов.

Механизм получения злоумышленниками доступа к переписке жертвы в Signal (источник изображения: ESET)

Исследователь из ESET Лукаш Стефанко (Lukas Stefanko) написал: «Signal Plus Messenger может шпионить за сообщениями Signal, злоупотребляя функцией связывания устройств. Этот метод шпионажа уникален, так как мы ранее не сталкивались с подобным злоупотреблением другими вредоносными программами». BadBazaar обходит стандартное сканирование QR-кода, получая необходимый URI от своего сервера управления и команд (C&C), что позволяет злоумышленникам тайно связать устройство жертвы со своим устройством.

Для популярных мессенджеров, таких как Telegram или Signal, существует немало альтернативных клиентов, которые называют «модами» и которые предоставляют пользователям дополнительные функции, отсутствующие в официальном ПО. Однако использовать сторонние клиенты мессенджеров не всегда безопасно. Специалисты «Лаборатории Касперского» рассказали, что загруженные из Play Маркета неофициальные приложения мессенджеров приносили с собой трояны, бэкдоры и др.

Источник изображения: kaspersky.ru

К примеру, не так давно в Play Маркете были обнаружены несколько заражённых приложений, которые маскировались под клиенты для Telegram на уйгурском, упрощённом китайском и традиционном китайском языках. Приложения сопровождались подробным описанием и изображениями интерфейса, сильно напоминающего официальный Telegram. В дополнение к этому авторы приложений обещали, что их продукты будут работать быстрее других клиентов благодаря сети центров обработки данных, расположенной по всему миру.

На первый взгляд приложения являются полноценными клонами Telegram на одном из упомянутых ранее языков. Изучение кода этих продуктов показало, что они представляют собой слегка модифицированные версии официального клиента Telegram. В частности, приложения получили дополнительный модуль, который постоянно следит за происходящим в приложении и пересылает данные на командный сервер разработчиков, включая контакты пользователя, отправленные и полученные сообщения, вложенные файлы и др.

Ранее исследователи из ESET обнаружили шпионскую версию Telegram под названием FlyGram. Он позиционировался как альтернативный клиент мессенджера и был доступен для скачивания в Play Маркете и Samsung Galaxy Store. Эти же разработчики публиковали шпионскую версию мессенджера Signal под названием Signal Plus Messenger. Код приложений был модифицирован таким образом, чтобы они могли похищать с устройств пользователей различную информацию, включая контакты, историю звонков, список используемых аккаунтов Google и др. FlyGram появился в Play Маркете в июле 2020 года и продержался на площадке до января 2021 года. Signal Plus появился в магазинах приложений в июле 2022 года, а удалили его лишь в мае 2023 года. В магазине приложений Samsung оба продукта были доступны в августе этого года.

Несколько месяцев назад исследователи обнаружили несколько вредоносных клиентов WhatsApp и Telegram, которые нацелены на кражу криптовалюты. Они подменяли адреса криптовалютных кошельков в сообщениях пользователей для перехвата переводов, поступающих на кошелёк жертвы. Некоторые из вредоносных приложений способны распознавать изображения для поиска в памяти устройства последовательности кодов, позволяющих получить полный контроль над криптовалютным кошельком жертвы. В дополнение к этому некоторые вредоносные клиенты Telegram могли похищать пользовательские данные.

Специалисты Secureworks, американской компании, специализирующейся на кибербезопасности, обнаружили новую функцию вредоносного ПО Smoke Loader. Выяснилось, что оно способно определять местоположение заражённого ПК с помощью триангуляции Wi-Fi. Этот метод редко встречается среди хакерских инструментов, но его потенциальное применение может быть направлено на запугивание жертвы.

Источник изображения: geralt / Pixabay

Smoke Loader — это вредоносное ПО, известное специалистам по безопасности уже многие годы. Оно было создано, чтобы загружать и устанавливать на ПК дополнительные вредоносные программы, что в свою очередь позволяет злоумышленникам контролировать заражённую систему. Недавно исследователи из Secureworks обнаружили новую функцию этого вредоноса, которую они назвали Whiffy Recon. Она каждую минуту определяет местоположение заражённого ПК, анализируя сигналы ближайших точек доступа Wi-Fi. Для этого Whiffy Recon использует Google Maps Geolocation API. Этот сервис был создан для устройств, не имеющих встроенного GPS, и он определяет местоположение устройства на основе данных о близлежащих Wi-Fi-точках доступа и сотовых вышках.

Зачем киберпреступникам знать местоположение жертвы? Специалисты Secureworks предполагают, что данная информация может быть использована для запугивания: например, чтобы угрожать пользователю или давить на него, зная, где он находится.

Как отметил Дон Смит (Don Smith), вице-президент Secureworks, такая возможность вредоносного ПО редко используется киберпреступниками. В отдельности эта функция не позволяет быстро получить прибыль. Однако реальность такова, что она может быть использована для реализации любых преступных мотивов.

Для минимизации рисков, связанных с вредоносным ПО, рекомендуется следующее:

• всегда обновляйте свою ОС и ПО, так как новые версии часто содержат патчи для уязвимостей, которые могут быть эксплуатированы такими программами, как Smoke Loader;
• используйте надёжное антивирусное программное обеспечение с актуальными базами данных для обнаружения и блокировки известных киберугроз;
• будьте особенно осторожны при открытии вложений или переходе по ссылкам из электронных писем, особенно если отправитель вам неизвестен;
• наконец, скачивайте программы и приложения только из официальных и проверенных источников, избегая сомнительных сайтов или неофициальных платформ.

Исследование компании Zimperium показало, что новый вид вредоносного ПО для Android умело маскируется от антивирусных программ, используя необычный метод антианализа для файлов Android Package (APK), что делает его практически невидимым для большинства антивирусов.

Источник изображения: neotam / Pixabay

Zimperium, специализирующаяся на вопросах кибербезопасности, обнаружила, что вредоносные файлы противостоят декомпиляции (процессу, который антивирусы используют для выявления подозрительного кода) с помощью нестандартных или сильно модифицированных алгоритмов сжатия. Так как этот метод пока неизвестен антивирусным программам, вредоносное ПО может маскироваться под обычное приложение, полностью обходя защиту смартфона.

Отчёт Zimperium, опубликованный на этой неделе, указывает на 3 300 APK-файлов, использующих подобный способ сжатия. Из них 71 APK-файл успешно запускается и работает на Android 9 и старше. Zimperium не нашла доказательств того, что приложения, связанные с обнаруженными вредоносными APK-файлами, когда-либо размещались в Google Play Маркет.

Это указывает на то, что их распространение происходило иными путями, например, через сторонние магазины приложений или путём ручной установки пользователем. Хотя это тревожная новость для владельцев Android-смартфонов, тем не менее, основному риску подвергаются те пользователи, кто устанавливает приложения не из официальных магазинов.

По поручению Белого дома ФБР провело расследование с целью установить ведомство, которое вопреки запрету использовало шпионское ПО израильской компании NSO. Этим ведомством неожиданно для расследователей оказалось... ФБР.

Использование предназначенного для шпионажа ПО, созданного израильской компанией NSO, стало незаконным в США с ноября 2021 года, когда разработчика включили в список организаций, угрожающих национальной безопасности страны. Об NSO узнал весь мир, когда правозащитники рассказали о программе Pegasus, предназначенной для удалённого взлома iPhone. При помощи отправленного на телефон сообщения iMessage, которое не нужно открывать или делать с ним что-то ещё, злоумышленник получал почти полный доступ к устройству и всем личным данным на нём. Ещё одним продуктом NSO является программа Landmark, которая эксплуатирует уязвимости не пользовательских устройств, а базовых станций мобильных операторов — когда к скомпрометированной базовой станции подключается телефон жертвы, Landmark определяет его местоположение с точностью 100–200 метров.

В апреле газета New York Times доложила о журналистском расследовании, в ходе которого было установлено, что американская компания Riva Networks незаконно приобрела и использовала продукцию NSO для выполнения заказа от некоего американского ведомства. Журналисты издания ознакомились с засекреченным контрактом, в котором заказчиком значилось «правительство Соединённых Штатов». Администрация президента страны заявила, что ей об этом контракте ничего не известно, и поручила ФБР расследовать инцидент. Теперь же газета сообщила, что заказчика удалось установить — им было само ФБР.

Источник изображения: Darwin Laganzon / pixabay.com

В бюро заявили, что использовали шпионское ПО непреднамеренно, а Riva ввела его в заблуждение. Как только ведомство в конце апреля установило, что компания использовала запрещённое средство кибершпионажа от его имени, директор ФБР расторг контракт. В бюро пояснили, что передали Riva несколько зарегистрированных в Мексике телефонных номеров, которые, по оперативной информации, использовались наркоторговцами и беглыми преступниками, чьё местоположение было необходимо установить. ФБР считало, что компания будет использовать для этого какой-то инструмент собственной разработки, но Riva предпочла NSO Landmark.

Как выяснилось, ФБР — возможно, не единственное американское ведомство, вовлечённое в это дело: у Riva также есть контракты с Министерством обороны, Управлением по борьбе с наркотиками (DEA) и Исследовательской лабораторией ВВС. Причём DEA пользуется инструментом, аналогичным Pegasus, только его разработчиком значится Paragon Graphite — конкурент NSO. Это ПО применяется на законных основаниях, хотя и предлагает ровно те же возможности.

Месяц назад, 26 июня, пользователь Steam предупредил сообщество Call of Duty: Modern Warfare 2 (2009) о том, что хакеры «атакуют через взломанные лобби». Другой игрок после анализа вредоносного ПО в той же ветке пришёл к выводу, что оно похоже на червя. Activision отреагировала на сообщения, но только сейчас.

Источник изображения: Pixabay

В разговоре с Techcrunch некий инсайдер на условиях анонимности подтвердил, что код вредоносного ПО содержит строки, указывающие на червя. На такой вывод наталкивает и его поведение: оно автоматически распространяется через онлайн-лобби от одного заражённого игрока к другому. Это говорит о том, что хакеры нашли и использовали уязвимости игры для выполнения вредоносного кода на компьютерах других пользователей.

Накануне, 26 июля, Activision сообщила, что «многопользовательский режим Call of Duty: Modern Warfare 2 (2009) в Steam был отключён, пока мы изучаем сообщения о проблеме».

Call of Duty: Modern Warfare 2 была выпущена ещё в 2009 году, но до сих пор имеет небольшое сообщество игроков. По данным SteamDB, пиковый онлайн в проекте за последние сутки составил около 650 человек.

Хотя и ранее фиксировались случаи распространения вредоносных программ через видеоигры, обычно ими становились троянские версии установщиков игр или читы. Компания Valve, управляющая платформой Steam, пока не прокомментировала ситуацию.

Ресурс BleepingComputer сообщил о создании участником команды red team ВМС США Алексом Ридом (Alex Reid) инструмента под названием TeamsPhisher, который позволяет использовать нерешённую проблему безопасности в Microsoft Teams для обхода ограничений на входящие файлы от пользователей за пределами целевой организации и рассылать вредоносное ПО.

Источник изображения: Pixabay

Инструмент использует проблему, о которой сообщила в прошлом месяце британская ИБ-компания Jumpsec. Как выяснилось, средства защиты Microsoft Teams на стороне клиента можно обойти, изменив идентификатор в POST-запросе сообщения, чтобы действовать под видом внутреннего пользователя.

Созданный с использованием Python инструмент действует полностью автономно. Он объединил в себе концепт атаки исследователей Jumpsec, методы, разработанные ИБ-экспертом Анджреа Сантезе (Andrea Santese), а также аутентификацию и вспомогательные функции инструмента TeamsEnum Бастиана Канбаха (Bastian Kanbach).

Источник изображений: github.com/Octoberfest7

TeamsPhisher вначале проверяет существование целевого пользователя и его способность получать внешние сообщения, что является необходимым условием для осуществления атаки. Затем он формирует новый поток данных и отправляет сообщение со ссылкой на вложение в Sharepoint. Поток отображается в интерфейсе Teams отправителя для возможного ручного взаимодействия.

Для успеха TeamsPhisher необходимо, чтобы у пользователя был бизнес-аккаунт Microsoft Business с лицензией Teams и Sharepoint, что характерно для многих крупных компаний.

Инструмент также имеет режим предварительного просмотра, позволяющий проверить установленные целевые списки и как выглядят сообщения с точки зрения получателя. Кроме того, он позволяет устанавливать задержки на отправку сообщений для обхода ограничений скорости и записывать выходные данные в журнал.

Данная уязвимость в Microsoft Teams по-прежнему существует, и Microsoft утверждает, что она не настолько серьёзна и поэтому не требует немедленного исправления. В ответ на просьбу дать комментарий по этому поводу представитель Microsoft сообщил BleepingComputer, что использование TeamsPhisher основано на социальной инженерии. Он призвал пользователей соблюдать меры безопасности и «проявлять осторожность при переходе по ссылкам на веб-страницы, открытии неизвестных файлов или принятии передачи файлов».

Эксперты по кибербезопасности из компании Uptycs доложили об обнаружении вредоносного ПО Meduza Stealer, предназначенного для «комплексной кражи данных». Вирус осуществляет мониторинг «активности пользователей в интернете, извлекая обширные массивы данных, связанные с браузерами».

Источник изображения: uptycs.com

Meduza также перехватывает данные браузерных расширений: криптовалютных кошельков, менеджеров паролей и средств двухфакторной авторизации. Во избежание обнаружения в момент обрыва соединения с сервером злоумышленника вирус прекращает работу. При обнаружении системы на территории СНГ и Туркменистана Meduza запускает механизм самоуничтожения.

При работе вирус перехватывает данные браузера, собирает информацию системного реестра Windows и даже отправляет на управляющий сервер список установленных на компьютер жертвы игр. Разработчики позаботились и об удобном управлении вредоносом: в веб-интерфейсе выводится информация о том, что Meduza удалось собрать на компьютере жертвы, а также средства для скачивания или удаления этих данных.

Объявления о продаже экземпляров Meduza Stealer обнаружены в даркнете. Покупка «лицензии» осуществляется через Telegram. Вредонос продаётся по подписке за $199 в месяц или в формате единовременной выплаты в $1199.

«Ведомости» сообщили, что переход на отечественные операционные системы и офисные пакеты теперь станет обязателен для госкомпаний. Об этом было заявлено сегодня утром главой Минцифры Максутом Шадаевым на ИТ-завтраке в рамках ПМЭФ.

Источник изображения: StartupStockPhotos / pixabay.com

«Президентом подписано поручение было, 12 июня, в праздник, о том, что по всем госкомпаниям к 1 января 2025 г. обеспечить тотальное замещение операционных систем, офисного пакета, систем виртуализации, систем управления баз данных», — сообщил Шадаев. Ранее аналогичное требование было только к объектам критической информационной инфраструктуры (КИИ). Для всех остальных это была лишь рекомендация, необязательная для реализации.

В апреле Минцифры представило предложение, согласно которому госкомпании должны были перейти на отечественный софт лишь в тех нишах, где есть зрелые решения, а также конкуренция среди российских разработчиков ПО. Техническая возможность для этого есть. Считается, что для 80 % зарубежных ИТ-продуктов в России уже созданы аналоги. А если аналогов нет, то можно убедить зарубежных партнёров пойти на контакт. Впрочем, сделать так получается не всегда и наличие отечественного софта крайне необходимо.

Очевидно, что переход на отечественную ОС и офисные пакеты не закроют все потребности в софте. Поэтому всех российских разработчиков, так или иначе, заставят делать программное обеспечение совместимым с российскими операционными системами. Как считают эксперты, двух лет для этого хватит вполне. А если постараться, то можно успеть и за полтора года — аккурат к 1 января 2025 года.

Министерство юстиции США сообщило об аресте гражданина России Руслана Астамирова по обвинению в причастности к совершению атак программы-вымогателя LockBit на американские и иностранные компании. Согласно иску, как минимум с августа 2020 года по март 2023 года Астамиров вместе с другими участниками хакерской группы участвовал в развёртывании вредоносного ПО, требуя выкуп за разблокировку затронутых вирусом компьютерных систем.

Источник изображения: Towfiqu barbhuiya/unsplash.com

Сообщается, что Астамиров использовал различные адреса электронной почты, адреса интернет-протокола (IP) и учётные записи интернет-провайдеров для распространения программы-вымогателя LockBit и общения с пострадавшими. Согласно иску, как минимум в одном случае правоохранительным органам удалось отследить перевод части выкупа жертвой на адрес в виртуальной валюте, находящийся под контролем Астамирова.

Непосредственно Астамиров осуществил как минимум пять атак на компьютерные системы в Соединённых Штатах и за рубежом. Ему предъявлено обвинение в сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в сговоре с целью умышленного повреждения защищённых компьютеров и передачи требований о выкупе. В случае признания виновным, Астамирову грозит максимальное наказание в виде 20 лет лишения свободы по первому обвинению и максимальное наказание в виде пяти лет лишения свободы по второму. Также по этим обвинениям предусмотрено наказание в виде максимального штрафа в размере $250 000 или в двойном размере прибыли или убытка от совершённого преступления, в зависимости от того, что больше.

«Астамиров является третьим ответчиком, которому прокуратурой Нью-Джерси предъявлено обвинение в глобальной кампании вымогателей LockBit, и вторым обвиняемым, которого задержали», — сообщил прокурор США Филип Р. Селлинджер (Philip R. Sellinger) в округе Нью-Джерси.

В пресс-релизе Минюста США также сообщается, что в настоящее время в Канаде находится под стражей в ожидании экстрадиции в США россиянин Михаил Матвеев, обвиняемый в причастности к развёртыванию программ-вымогателей LockBit, Babuk и Hive на компьютерах жертв в США и других странах.

Большие изменения ожидают российских разработчиков программного обеспечения, претендующих на включение их продуктов в реестр отечественного ПО. Как сообщают «Ведомости», в скором времени потребуется обеспечить совместимость софта минимум с двумя российскими операционными системами.

Источник изображения: Hack Capital/unsplash.com

Проект соответствующего постановления уже подготовлен Минцифры, и новые правила будут распространяться не только на новые программы, но и на присутствующее в реестре ПО. Известно, что проект обсуждается с представителями заинтересованных сторон, в Минцифры ожидают, что требования введут поэтапно — тем программам, которым уже повезло попасть в реестр, предоставят переходный период на доработку.

По мнению некоторых экспертов, доля ПО реестре, несовместимого с отечественными ОС, сегодня превышает 50 % — всё из-за того, что ранее Минцифры не требовало ни совместимости отечественного ПО с российскими операционными системами и процессорами, ни декларирования такой совместимости. Эксперты же уверены, что отечественному IT-рынку необходима настоящая экосистема, а не отдельные программные продукты — от офисного ПО до программ для работы с базами данных и ПО другого профиля.

Утверждается, что на доработку систем автоматизированного проектирования (САПР) потребуется не менее двух лет. Это же касается и многого другого инженерного, промышленного и банковского ПО, обеспечение совместимости которого с российскими ОС идёт очень медленно.

По словам главы Axiom Романа Карпова, совместимость программного обеспечения из реестра отечественного ПО можно доработать за 2-3 года. Впрочем, некоторые продукты уже сегодня можно использовать с применением эмуляторов. Известно, что многие разработчики и ранее вместо «честной» адаптации под отечественные ОС на базе Linux применяли инструменты вроде Wine. Как считают эксперты, для использования прикладного ПО такие решения не подойдут, поэтому адаптировать программное обеспечение всё равно придётся — если разработчики намерены сохранить позиции в реестре.

Стало известно, что более 60 тыс. приложений для платформы Android, замаскированных под легитимные продукты, скрытно устанавливали рекламное программное обеспечение на устройства и оставались незамеченными в течение последних шести месяцев. Обнаружить их удалось румынской компании Bitdefender, работающей в сфере информационной безопасности, и в прошлом месяце запустившей в своём антивирусе Bitdefender Mobile Security новую функцию обнаружения аномалий.

Источник изображения: Bleeping Computer

«На сегодняшний день Bitdefender обнаружил 60 тыс. совершенно разных образцов (уникальных приложений), содержащих рекламное ПО, и мы подозреваем, что в действительности их гораздо больше», — говорится в сообщении Bitdefender.

Предполагается, что масштабная кампания по распространению поддельных приложений, которые скрытно загружают на пользовательские устройства рекламное ПО, началась в октябре прошлого года. Специалисты определили, что чаще всего такое ПО выдаёт себя за антивирусные приложения, утилиты для взлома игр, VPN-клиенты, различные служебные приложения и др. Преимущественно данное ПО нацелено на пользователей из США, а также Южной Кореи, Бразилии, Германии, Великобритании и Франции.

Источник изображения: Bitdefender

В рамках данной кампании поддельные приложения распространяются не через официальный магазин цифрового контента Google Play Маркет, а через сторонние сайты. После установки на устройство пользователя такое приложение не запускается автоматически, поскольку для этого необходимы дополнительные привилегии. Вместо этого оно рассчитано на то, что пользователь хотя бы раз запустит установленное приложение.

При запуске приложения появляется сообщение об ошибке: «Приложение недоступно в вашем регионе. Нажмите OK, чтобы удалить его». Однако вместо этого активируется функция, которая вызывает запуск приложения при загрузке устройства или разблокировке экрана. Любопытно, что она начинает работать не сразу, а лишь через несколько часов. Очевидно, это делается для того, чтобы пользователь не заподозрил в появлении рекламного контента недавно установленное и, как он думает, удалённое приложение. После активации приложение устанавливает связь с подконтрольным злоумышленникам сервером и получает оттуда ссылки для последующей демонстрации полноэкранных рекламных сообщений.

Хотя на данном этапе поддельные приложения используются для демонстрации рекламы, она может быть легко заменена вредоносными сайтами, посещение которых небезопасно. Специалисты рекомендуют пользователям отказаться от установки приложений из сторонних источников, чтобы снизить риск заражения устройств вредоносным ПО.

Apple выступила с опровержением обвинений ФСБ в сотрудничестве с американскими спецслужбами, которые установили шпионское ПО на тысячи смартфонов iPhone для слежки за российскими дипломатами во многих странах мира. «Мы никогда не работали с каким-либо правительством над внедрением бэкдора в какой-либо продукт Apple и никогда не будем», — говорится в заявлении компании, приведённом агентством Reuters.

В заявлении ФСБ указано, что взлому подверглись не только устройства Apple российских граждан, но и иностранных дипломатов, находящихся в России и бывших республиках Советского Союза. ФСБ отметила, что вскрывшиеся факты продемонстрировали «тесное сотрудничество» между Apple и Агентством национальной безопасности (АНБ), ведомством США, ответственным за криптографическую и коммуникационную разведку и безопасность. В свою очередь, Reuters утверждает, что Федеральная служба безопасности РФ не привела никаких доказательств сотрудничества Apple и АНБ.

В этот же день, 1 июня, гендиректор «Лаборатории Касперского» Евгений Касперский сообщил в блоге, что десятки iPhone его сотрудников «высшего и среднего звена» были скомпрометированы в ходе «крайне сложной, профессиональной целевой кибератаки».

Сотрудник «Лаборатории Касперского» Игорь Кузнецов сообщил Reuters, что аномальный трафик в корпоративной сети Wi-Fi, свидетельствующий о том, шпионское ПО передаёт сведения на удалённые серверы, был обнаружен в начале 2023 года, но компания не предоставляла сведения об этом российской группе реагирования на компьютерные чрезвычайные ситуации до начала четверга, 1 июня. «Очень трудно кому-либо что-либо приписать», — отметил он.

Комментируя происшедшее, в МИД России заявили, что «спецслужбы США десятилетиями использовали IT-корпорации для сбора крупномасштабных данных о пользователях интернета без их ведома».

Согласно отчёту, опубликованному в четверг Cisco Talos при содействии некоммерческой лаборатории Citizen Lab в Канаде, шпионская программа Predator и её загрузчик Alien обладают более широкими возможностями слежки, чем предполагалось ранее. Выяснилось, что вредоносная программа может записывать голосовые звонки и звук поблизости, собирать данные Signal и WhatsApp, а также скрывать приложения или предотвращать их запуск при перезагрузке устройства.

Источник изображения: pixabay

Predator и Alien существуют как минимум с 2019 года и являются частью большого пакета, разработанного компанией Cytrox, которая теперь называется Intellexa — маркетинговое имя для целого ряда наёмных поставщиков систем наблюдения, появившихся в 2019 году. Другие компании, входящие в консорциум, включают Nexa Technologies (ранее Amesys), WiSpear/Passitora Ltd. и Senpai.

В опубликованном отчёте, в котором рассматривается версия кода для Android, Talos предполагает, что Alien — это не просто загрузчик для Predator, а что эти два компонента работают в комбинации, позволяя осуществлять все виды шпионажа и сбора разведданных на взломанных устройствах. «При совместном использовании эти компоненты обеспечивают разнообразные возможности для кражи информации, наблюдения и удалённого доступа» — говорят исследователи.

Тандем программ может тайно вести запись звука телефонных звонков и VoIP-приложений, красть данные из Signal, WhatsApp и Telegram, а также скрывать приложения или запрещать их запуск после перезагрузки устройства. Как и другие программы-шпионы, такие как Pegasus, которым для заражения устройств жертв не требуется вмешательства пользователя, Predator и Alien, согласно документам, используют уязвимости «нулевого дня» и другие баги для заражения и захвата Android-телефонов.

Talos признает, что у них нет доступа ко всем компонентам шпионской программы и что без полного изучения кода «этот список возможностей не следует считать исчерпывающим». Тем не менее, компания предполагает, что среди функций также есть отслеживание геолокации, доступ к камере и имитация выключенного телефона — всё это облегчает слежку за жертвой без её ведома.

Мобильные приложения могут менять свою функциональность даже после того, как их загрузили из маркетплейса. Изначально безобидный софт может превратиться во вредоносное ПО, способное нанести пользователю существенный ущерб. Как сообщает The Verge, программа iRecorder Screen Recorder для ОС Android изначально предназначалась для записи изображения с экрана смартфона, но спустя почти год после релиза она перешла на «тёмную сторону», начав выполнять несвойственные ей функции.

Источник изображения: yang miao/unsplash.com

Известно, что впервые ПО представили в сентябре 2021 года, но после обновления в августе 2022 года приложение начало тайно записывать по минуте аудио каждые 15 минут и передавать записи по шифрованному каналу на сервер разработчика. Подробно проблема задокументирована в блоге эксперта ESET Лукаса Стефанко (Lukas Stefanko).

В своём посте Лукас заявил, что ПО приобрело вредоносные функции в августе 2022 года, когда в него был интегрирован код на основе т.н. AhMyth Android RAT (троян удалённого доступа). К тому времени приложение насчитывало 50 тыс. загрузок. О проблеме сообщили, и продукт был удалён из Google Play. Эксперт добавляет, что программы с интегрированным AhMyth и ранее проходили защитные фильтры Google.

Вредоносные приложения встречаются как в Google Play, так и в App Store довольно часто. Особенно опасными могут быть программы, в которых функционально предусмотрена запись какого-либо контента. Более того, иногда они взимают плату за подписки, а их разработчики оплачивают отзывы для увеличения видимости на платформе Google или Apple. Стефанко подчёркивает важность главной проблемы: часто приложения становятся вредоносными далеко не сразу после того, как их загрузили. Они получают всевозможные разрешения, после этого обновляются и начинают злонамеренную деятельность, передавая информацию с устройств пользователей разработчикам.

Приложение iRecorder Screen Recorder уже удалено, но ничто не мешает любой другой «спящей» программе начать сбор данных на смартфоне в любой момент. Google регулярно сообщает об изменениях политики обмена данными в приложениях, но только тогда, когда может выявить такие факты.