Ανακάλυψη νέου λογισμικού υποκλοπής σε τηλέφωνο της FSB

Αφού ένας Ρώσος προγραμματιστής κρατήθηκε από την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB) για δεκαπέντε ημέρες και το τηλέφωνό του κατασχέθηκε, ανακαλύφθηκε ότι ένα νέο λογισμικό κατασκοπείας εγκαταστάθηκε κρυφά στη συσκευή του κατά την επιστροφή του.

Ο προγραμματιστής, Kirill Parubets, συνελήφθη από την FSB αφού κατηγορήθηκε για δωρεά στην Ουκρανία. Αφού ανέκτησε την πρόσβαση στην κινητή συσκευή του, ο προγραμματιστής υποψιάστηκε ότι είχε παραβιαστεί από τη ρωσική κυβέρνηση αφού επέδειξε ασυνήθιστη συμπεριφορά και εμφάνισε μια ειδοποίηση που έλεγε, “Συγχρονισμός φλοιού βραχίονα vx3”.

Αφού το μοιράστηκαν με το Citizen Lab για ιατροδικαστική ανάλυση, οι ερευνητές επιβεβαίωσαν ότι είχε εγκατασταθεί spyware στη συσκευή που υποδύθηκε μια νόμιμη και δημοφιλή εφαρμογή Android «Cube Call Recorder», η οποία έχει πάνω από 10.000.000 λήψεις στο Google Play.

Σε αντίθεση με τη νόμιμη εφαρμογή, ωστόσο, το λογισμικό υποκλοπής έχει πρόσβαση σε ένα ευρύ φάσμα αδειών, δίνοντάς του απεριόριστη πρόσβαση στη συσκευή και επιτρέποντας στους εισβολείς να παρακολουθούν τις δραστηριότητες στο τηλέφωνο.

Citizen Lab εκθέσεις ότι το κακόβουλο λογισμικό φαίνεται να είναι μια νέα έκδοση του Monokle, πρώτα ανακαλύφθηκε από το Lookout το 2019το οποίο αναπτύσσεται από το Special Technology Center, Ltd, με έδρα την Αγία Πετρούπολη.

Είναι επίσης πιθανό το νέο κακόβουλο λογισμικό που ανακαλύφθηκε στη συσκευή της Parubets να είναι ένα νέο εργαλείο που χρησιμοποιεί τμήματα του κώδικα Monokle ως βάση του.

«Οι πολλές σημαντικές ομοιότητες στις λειτουργίες, τη λειτουργικότητα και τα γεωπολιτικά κίνητρα μας οδηγούν να εκτιμήσουμε ότι πρόκειται είτε για μια ενημερωμένη έκδοση του spyware Monokle είτε για νέο λογισμικό που δημιουργήθηκε με την επαναχρησιμοποίηση μεγάλου μέρους του ίδιου κώδικα», εξηγεί το Citizen Lab.

Το νέο spyware

Το spyware που εμφυτεύεται από το FSB στο τηλέφωνο του προγραμματιστή χρησιμοποιεί μια κρυπτογραφημένη διαδικασία δύο σταδίων που αντικατοπτρίζει την αρχιτεκτονική του αρχικού Monokle αλλά περιλαμβάνει προόδους στην κρυπτογράφηση και αλλαγές στις άδειές του.

Οι δυνατότητές του περιλαμβάνουν:

• Παρακολούθηση τοποθεσίας σε κατάσταση αδράνειας
• Πρόσβαση σε περιεχόμενο SMS, λίστα επαφών και καταχωρήσεις ημερολογίου
• Εγγραφή τηλεφωνικών κλήσεων, δραστηριότητας οθόνης και βίντεο (μέσω της κάμερας)
• Εξαγωγή μηνυμάτων, αρχείων και κωδικών πρόσβασης
• Εκτελέστε εντολές φλοιού και αποκρυπτογραφήστε δεδομένα
• Εκτελέστε καταγραφή πληκτρολογίου για να καταγράψετε ευαίσθητα δεδομένα και κωδικούς πρόσβασης
• Πρόσβαση σε μηνύματα από εφαρμογές ανταλλαγής μηνυμάτων
• Εκτέλεση εντολών φλοιού και εγκατάσταση πακέτων (APK)
• Εξάγετε τους κωδικούς πρόσβασης που είναι αποθηκευμένοι στη συσκευή και επίσης τον κωδικό ξεκλειδώματος της συσκευής
• Εξαγωγή αρχείων από τη συσκευή

Το Citizen Labs σημειώνει ότι το δεύτερο στάδιο περιέχει το μεγαλύτερο μέρος της λειτουργικότητας του spyware και περιλαμβάνει επίσης κρυπτογραφημένα αρχεία με φαινομενικά τυχαία ονόματα για να περιπλέξει τον εντοπισμό.

Οι αναλυτές αναφέρουν επίσης ότι βρίσκουν αναφορές στο iOS στον κώδικα του spyware, γεγονός που υποδεικνύει την πιθανότητα μιας παραλλαγής που τρέχει σε συσκευές Apple iPhone.

Αξιοσημείωτες αλλαγές αδειών από την έκδοση του 2019 (τελευταία τεκμηριωμένη) είναι η προσθήκη των “ACCESS_BACKGROUND_LOCATION” και “INSTALL_PACKAGES” και η αφαίρεση των “USE_FINGERPRINT” και “SET_WALLPAPER”.

Τα άτομα στα οποία η συσκευή τους κατασχέθηκε από τις αρχές επιβολής του νόμου και αργότερα επιστράφηκε θα πρέπει να αλλάξουν σε άλλη συσκευή ή να την παραδώσουν σε ειδικούς για ανάλυση.

Όσοι ζουν σε καταπιεστικές χώρες θα πρέπει να εξετάσουν το ενδεχόμενο χρήσης συσκευών «καυστήρα» όταν βρίσκονται έξω και κινδυνεύουν από αυθαίρετες συλλήψεις, να χρησιμοποιούν μηχανισμούς κατά του spyware όπως η λειτουργία Lockdown της Apple και να ενημερώνουν το λειτουργικό σύστημα και τις εφαρμογές.