Rambler's Top100
Все новости Новости отрасли

Осторожно, за вами следят

25 июня 2014

Эксперты «Лаборатории Касперского» и Citizen Lab Университета Торонто обнаружили новые программы, созданные для слежки за смартфонами и планшетами. Компьютерный вирус, созданный HackerTeam, основан на базе шпионского софта Galileo.

«Лаборатория Касперского» проанализировала глобальную инфраструктуру, которая используется для контроля вредоносных модулей, входящих в состав Remote Control Systems (RCS) – так называемого «легального» инструмента для слежки, разработанного итальянской компанией HackingTeam. В ходе расследования, проведенного «Лабораторией Касперского» в партнерстве с Citizen Lab, было выявлено, что частью инфраструктуры RCS, также известной как Galileo, являются новые образцы мобильных троянцев, которые работают как на Android, так и на iOS.

"КоммерсантЪ", со ссылкой на ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, пишет, что компьютерные вирусы-троянцы позволяют хакерам вести скрытую фотосъемку и аудиозапись, читать телефонную книгу, SMS и получать практически все данные с iPhone и iPad . Вирус проникает в iPhone с инфицированного компьютера, проводит процедуру jailbreak (перепрограммирование и получение полного доступа к файловой системе смартфона) и заражает iPhone.

Новые троянцы помимо слежки за iPhone, iPad шпионят и за устройствами на платформах Android (к примеру, удаленно передают данные хакерам, подключая смартфоны к интернету по Wi-Fi), а также Microsoft и Blackberry. Вирусы Galileo могут также вести перехват голосовых вызовов и SMS, а также сообщения чатов мобильных приложений Viber, WhatsApp и Skype. Владельцу сложно узнать о заражении, поскольку энергозатратные операции вирус проводит только во время заряжания батареи смартфона: например, включает аудиозапись и начинает вести секундную фотосъемку. Эксперты выявили, что список жертв вредоносного ПО включает в себя активистов, борцов за права человека, а также журналистов и политиков.

Специалситы «Лаборатории Касперского» использовали различные методы определения местонахождения управляющих серверов Galileo. В частности, специалисты опирались на особые индикаторы и данные, которыми программа обменивается с серверами, полученные методом реверс-инжиниринга. В результате удалось установить расположение более 320 серверов, управляющих инфраструктурой RCS, в более чем 40 странах. Большинство серверов было размещено в США, Казахстане, Эквадоре, Великобритании и Канаде.

«Наличие серверов инфраструктуры RCS в той или иной стране еще не свидетельствует о том, что местные спецслужбы причастны к использованию Galileo. Однако разумно предположить, что организации, которые работают с RCS, должны быть заинтересованы в том, чтобы их сервера располагались в местах, где у них был бы полный контроль над ними – это позволяет нивелировать риски вмешательства правоохранительных органов других стран и изъятия серверов», – прокомментировал результаты анализа Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

Ранее было известно о существовании мобильных троянцев для платформ Android и iOS среди инструментов Hacking Team, однако до сегодняшнего дня никому не удавалось их точно идентифицировать или заметить во время проведения атак. Эксперты «Лаборатории Касперского» в течение последних двух лет проводили исследование программных компонентов RCS, и в итоге им удалось выявить ряд образцов мобильных модулей, которые соответствовали конфигурационному профилю RCS в коллекции вредоносных объектов. Также новые варианты образцов были получены от атакованных с помощью облачной инфраструктуры Kaspersky Security Network. Исследование набора вредоносных инструментов HackingTeam было успешным в том числе благодаря тесному сотрудничеству с Морганом Марки-Бур из Citizen Lab.

Операторы RCS формируют индивидуальные вредоносные модули для каждой выбранной цели. После того, как образец готов, его доставляют на мобильное устройство жертвы – в некоторых случаях распространение осуществлялось с помощью методов социальной инженерии в паре с эксплойтами, использующими в том числе угрозы нулевого дня, либо с помощью локального заражения телефона во время его синхронизации с компьютером по USB.

Особо следует отметить, насколько умело мобильный троянец Galileo заражает iPhone. Чтобы проникновение успешно осуществилось, на телефоне должна быть выполнена процедура так называемого jailbreak. Однако даже телефоны со штатной сборкой iOS подвержены подобной угрозе: во время подключения по USB с уже зараженного компьютера может быть удаленно запущена процедура jailbreak при помощи программного набора Evasi0n. И уже после этого происходит заражение мобильного устройства.

Мобильные модули RCS разработаны таким образом, чтобы жертва не замечала их присутствия – к примеру, особое внимание уделено потреблению энергии батареи устройства. Это достигается путем использования шпионских функций только по наступлению заранее установленных событий: к примеру, звук начинает записываться лишь тогда, когда жертва подключится к определенной Wi-Fi сети, или при смене SIM-карты, или во время подзарядки устройства. В целом, эти мобильные троянцы имеют широкие возможности для выполнения различных функций наблюдения, включая передачу данных местонахождения жертвы, выполнение снимков, копирование данных о встречах из календаря, регистрацию новых SIM-карт, которые вставляются в телефон, а также перехват вызовов и сообщений, включая те, что передаются посредством популярных мессенджеров VIber, WhatsApp и Skype.

Больше подробностей о расследовании инструментов RCS специалистами «Лаборатории Касперского» можно получить по ссылке: www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile

По материалам открытых источников

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.