Изследователите анализират ios и шпионски инструменти за андроид, използвани от правителствата

Изследователите по сигурността са дисектирали и анализирали мобилните компоненти на търговския шпионски софтуер, използвани от правителствата по целия свят, които могат да се използват за скрит запис и кражба на данни от мобилни устройства.

Разработени от италианската компания Hacking Team, мобилните модули за системата за дистанционно управление позволяват на органите на реда и разузнаването да извършват широк спектър от действия за наблюдение на устройства с Android, iOS, Windows Mobile и BlackBerry, според изследователи от Kaspersky Lab и Citizen Lab в училището по глобални въпроси в университета в Мунк в Университета в Торонто. Екипът на хакерите продава RCS, известни още като Da Vinci и Galileo, на правителствата, за да шпионира настолни компютри, лаптопи и мобилни устройства. В някои страни RCS се използва за шпиониране на политически дисиденти, журналисти, защитници на правата на човека и противопоставяне на политически фигури.

Изследователите на лабораторията Kaspersky и Citizen Lab съвместно проектираха мобилните модули, а Morgan Marquis-Boire от Citizen Lab и Сергей Голованов представиха своите открития на пресконференция в Лондон във вторник.

"Известен факт от доста време беше, че продуктите на HackingTeam включват зловреден софтуер за мобилни телефони. Въпреки това, те рядко се виждаха", написа Голованов в блога на Securelist.

Какво RCS може да направи

Компонентите на iOS и Android могат да регистрират натискания на клавиши, да получават данни от историята на търсенията и да позволяват скрито събиране на имейли, текстови съобщения (дори тези, изпратени от приложения като WhatsApp), история на обажданията и адресни книги. Те могат да правят екрани на екрана на жертвата, да правят снимки с камерата на телефона или да включат GPS, за да наблюдават местоположението на жертвата. Те могат също да включат микрофона за запис на телефонни и скайп разговори, както и разговори, възникващи в близост до устройството.

„Тайното активиране на микрофона и правенето на редовни снимки на камерата осигурява постоянно наблюдение на целта - което е много по-мощно от традиционните операции с наметала и кама“, написа Голованов.

Мобилните компоненти са изградени по поръчка за всяка цел, казаха изследователи. "След като пробата е готова, нападателят я доставя на мобилното устройство на жертвата. Някои от известните вектори на инфекция включват подводно нападение чрез социално инженерство - често съчетано с подвизи, включително нулеви дни; и локални инфекции чрез USB кабели, докато синхронизират мобилните устройства “, каза Голованов.

Дългата ръка за наблюдение

RCS има голям световен обхват, като изследователите откриват 326 сървъра в повече от 40 страни. По-голямата част от командните сървъри бяха хоствани в САЩ, следвани от Казахстан, Еквадор, Обединеното кралство и Канада. Фактът, че командните сървъри са в тези страни, не означава непременно, че органите на реда в тези страни използват RCS, казват изследователите.

"Въпреки това има смисъл потребителите на RCS да разполагат C&C на места, които те контролират - където има минимални рискове от трансгранични правни проблеми или конфискации на сървъри", каза Голованов.

Последните констатации се основават на по-ранен доклад от март, в който изследователите установяват, че най-малко 20 процента от инфраструктурата за RCS се намира в рамките на дузина центрове за данни в Съединените щати.

Скриване в стелт режим

Изследователите на Citizen Lab откриха полезен товар на Hacking Team в приложение за Android, което изглежда беше копие на приложението за арабски новини на Qatif Today. Този вид тактика, при която злонамерени полезни натоварвания се инжектират в копия на законни приложения, е доста често срещан в Android света. Полезният товар се опитва да използва уязвимост в по-старите версии на операционната система Android, за да получи root достъп до устройството.

"Въпреки че този подвиг не би бил ефективен спрямо най-новата версия на операционната система Android, все още голям процент от потребителите използват наследени версии, които могат да бъдат уязвими", пишат изследователите на Citizen Lab в публикация в блога.

И двата модула за Android и iOS използват усъвършенствани техники за избягване на изтощаването на батерията на телефона, ограничаване, когато то изпълнява определени задачи, на специфични условия и работа дискретно, така че жертвите да останат в неведение. Например, микрофонът може да бъде включен и аудио запис, направен само когато жертвата е свързана към определена WiFi мрежа, каза Голованов.

Изследователите откриха, че iOS модулът засяга само джейлбрейк устройства. Ако устройството iOS обаче е свързано с компютър, заразен с настолната или лаптоп версия на софтуера, злонамереният софтуер може да пусне дистанционно инструменти за затвора, като Evasi0n, за да зареди злонамерения модул. Всичко това щеше да стане без знанието на жертвата.

Citizen Lab също получи от анонимен източник копие на ръководството за употреба на екипа на Hacking Team. Документът обяснява много подробно как да изградим инфраструктурата за наблюдение, за да доставяме злонамерените полезни товари на жертвите, как да управляваме разузнавателните данни, събрани от устройства за жертва, и дори как да получаваме сертификати за подписване на код.

Например ръководството предлага използването на Verisign, Thawte и GoDaddy за сертификатите. Нападателите са инструктирани да закупят "Сертификат за разработчици" директно от TrustCenter, ако целта ще използва устройство Symbian, и да се регистрират за акаунт в Microsoft и акаунт за Windows Dev Center, за да заразят Windows Phone.

Предположението за този вид софтуер за наблюдение е, че купувачите ще използват тези инструменти предимно за целите на правоприлагането и че престъпните елементи няма да имат достъп до тях. Фактът, че те са налични, означава, че те могат да бъдат използвани срещу политически мотивирани цели, което има сериозни последици за общата сигурност и неприкосновеността на личния живот.