Після того, як російського програміста Кирила Парубця затримала Федеральна служба безпеки (ФСБ) росії на 15 днів і конфіскувала його телефон, виявилося, що на його пристрій було таємно встановлено нове шпигунське програмне забезпечення. Про це повідомляє BleepingComputer.
Кирила Парубця заарештували за звинуваченням у пожертвуванні Україні. Відновивши доступ до свого мобільного пристрою, програміст запідозрив, що втрутився російський уряд, оскільки побачив сповіщення «Arm cortex vx3 synchronization».
Слідчі підтвердили, що на пристрої було встановлено шпигунське програмне забезпечення, яке імітує легітимну та популярну програму для Android «Cube Call Recorder», яку завантажено понад 10 мільйонів разів у Google Play.
На відміну від законної програми, шпигунське програмне забезпечення має доступ до широкого діапазону дозволів, що дає йому безперешкодний доступ до пристрою та дозволяє зловмисникам контролювати дії на телефоні.
Citizen Lab повідомляє, що зловмисне ПЗ, схоже, є новою версією Monokle, вперше виявленою Lookout у 2019 році. Її розробив Спеціальний технологічний центр у Санкт-Петербурзі.
Також можливо, що нове шкідливе програмне забезпечення, виявлене на пристрої Парубця, є новим інструментом, який використовує частини коду Monokle як свою основу.
«Багато суттєвих подібностей в операціях, функціональних можливостях і геополітичних мотивах змушують нас вважати, що це або оновлена версія шпигунського ПЗ Monokle, або нове програмне забезпечення, створене шляхом повторного використання більшої частини того самого коду», — пояснили в Citizen Lab.
Шпигунське програмне забезпечення, імплантоване ФСБ у телефон програміста, використовує зашифрований двоетапний процес, який відображає архітектуру оригінального Monokle, але включає вдосконалення шифрування і зміни його дозволів.
Основні можливості ПЗ:
- Відстеження місцезнаходження під час неактивності.
- Доступ до вмісту SMS, списку контактів і записів календаря.
- Запис телефонних дзвінків, активності екрана та відео (через камеру).
- Витяг повідомлень, файлів і паролів.
- Виконання команд із розшифрування даних.
- Виконання клавіатурного журналу для захоплення конфіденційних даних і паролів.
- Доступ до повідомлень із програм для обміну повідомленнями.
- Виконання команд оболонки та встановлення пакетів (APK).
- Витяг паролів, що зберігаються на пристрої, а також паролю розблокування пристрою.
- Вилучення файлів із пристрою.
У Citizen Labs зазначили, що другий етап містить більшість функцій шпигунського ПЗ, а також включає зашифровані файли зі, здавалося б, випадковими іменами, щоб ускладнити виявлення.
Також аналітики повідомили про виявлення посилань на iOS у коді шпигунського ПЗ. Це вказує на можливість варіанту, який працює на iPhone.
Помітними змінами дозволів із версії 2019 року (останньої задокументованої) є додавання «ACCESS_BACKGROUND_LOCATION» та «INSTALL_PACKAGES» і видалення «USE_FINGERPRINT» і «SET_WALLPAPER».
Експерти рекомендують людям, у яких правоохоронні органи конфісковували пристрій і згодом повертали його, перейти на інший пристрій або передати його експертам для аналізу.
Раніше ми повідомляли, що військовий 12-ї бригади спеціального призначення «Азов» Олександр «Сей» Лаптій зіграв одну з головних ролей у сиквелі культової гри «S.T.A.L.K.E.R.».
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
