После того как российский программист был задержан Федеральной службой безопасности (ФСБ) России на пятнадцать дней, а его телефон конфискован, выяснилось, что по возвращении на его устройство была тайно установлена новая шпионская программа.
Программист Кирилл Парубец был арестован ФСБ после того, как его обвинили в пожертвовании Украине. Получив доступ к своему мобильному устройству, программист заподозрил, что оно подверглось вмешательству со стороны российского правительства, после того как на нем появилось необычное поведение и уведомление "Arm cortex vx3 synchronization".
После передачи устройства в Citizen Lab для проведения экспертизы следователи подтвердили, что на нем было установлено шпионское ПО, которое выдавало себя за легитимное и популярное приложение для Android "Cube Call Recorder", которое имеет более 10 000 000 загрузок в Google Play..
В отличие от легитимного приложения, программа-шпион имеет доступ к широкому спектру разрешений, что дает ей неограниченный доступ к устройству и позволяет злоумышленникам следить за действиями на телефоне.
Citizen Lab сообщает, что вредоносная программа, судя по всему, является новой версией Monokle, впервые обнаруженной Lookout в 2019 году и разработанной петербургским ООО "Центр специальных технологий". Возможно также, что новая вредоносная программа, обнаруженная на устройстве Парубец, является новым инструментом, который использует части кода Monokle в качестве основы.
"Многочисленные значительные сходства в операциях, функциональности и геополитических мотивах заставляют нас предположить, что это либо обновленная версия шпионской программы Monokle, либо новое программное обеспечение, созданное путем повторного использования большей части того же кода", - поясняет Citizen Lab.
Новая шпионская программа
Шпионская программа, внедренная ФСБ в телефон программиста, использует зашифрованный двухэтапный процесс, который повторяет архитектуру оригинального Monokle, но включает усовершенствования в шифровании и изменения в разрешениях.
Ее возможности включают:
- Отслеживание местоположения во время бездействия
- Доступ к содержимому SMS, списку контактов и записям календаря
- Запись телефонных звонков, активности экрана и видео (через камеру)
- Извлечение сообщений, файлов и паролей
- Выполнение команд оболочки и расшифровка данных
- Выполнение кейлоггинга для получения конфиденциальных данных и паролей
- Доступ к сообщениям из приложений обмена сообщениями
- Выполнение команд оболочки и установка пакетов (APK)
- Извлечение паролей, хранящихся на устройстве, а также пароля разблокировки устройства
- Извлечение файлов с устройства
Citizen Labs отмечает, что второй этап содержит большую часть функциональности шпионской программы, а также включает в себя зашифрованные файлы с кажущимися случайными именами, чтобы усложнить обнаружение.
Аналитики также сообщают, что в коде шпионской программы были найдены ссылки на iOS, что указывает на возможность существования варианта, работающего на устройствах Apple iPhone.
Подробнее...