Шпионские программы - новое оружие для кибершпионажа

Шпионские программы - новое оружие для международного кибершпионажа

Шпионские программы - новое оружие для международного кибершпионажа

Правительству не нужно тратить миллионы на хакерские инструменты, чтобы получить требуемые данные с нужных смартфонов. Мысль об этом в последнее время не дает покоя многим пользователям, которые привыкли уделять повышенное внимание своей конфиденциальности. Более того, то и дело мы слышим о появлении специальных приложений, позволяющих шпионить за своими близкими. Как говорят специалисты, теперь даже ваша бабушка может оказаться шпионом. Гипербола, скажете вы? Попробуем разобраться.

 

 

 

  1. Введение
  2. Использование нескольких шпионских программ приводит к хорошим результатам
  3. Бабушка-шпион — гипербола или нет?
  4. Насколько распространены шпионские программы в последнее время
  5. Выводы

Введение

Совсем недавно экспертам компании Lookout удалось раскрыть масштабную операцию шпионажа за владельцами мобильных устройств, в ходе которой использовалась дешевая, но весьма мощная вредоносная программа. Этот зловред собирал данные с iPhone и Android-устройств. Предполагаемые разработчики работали над шпионскими программами как для правительственных служб, так и для гражданских лиц.

Так появился инструмент под названием TheOneSpy, он настолько прост, что даже ваша бабушка смогла бы им пользоваться. TheOneSpy вполне может применяться для слежки за родственниками.

И таких программ много. Задолго до появления TheOneSpy, в декабре 2016 года, шпионская программа для Android StealthAgent использовалась в атаке на известного активиста Дьепа Саиды. У StealthAgent и TheOneSpy прослеживаются сходства в реализации возможностей, утверждают специалисты.

«Такой расклад демонстрирует, насколько успешно киберпреступники могут действовать, при этом не инвестируя в кастомные эксплойты», — написал по этому поводу эксперт Lookout Майкл Флоссман.

Использование нескольких шпионских программ приводит к хорошим результатам

Ранее в этом году исследователи наткнулись на две формы вредоносных программ. Первая из них предназначалась для мобильной операционной системы Android, получила имя Stealth Mango. Вторая, Tangelo, атаковала iOS. Совместно этим вредоносам удалось собрать до 30 Гбайт конфиденциальных данных.

В руки стоящих за этими программами киберпреступников попали фотографии военных и правительственных чиновников. Злоумышленники допустили лишь одну ошибку — они оставили открытым доступ к серверу, на котором хранилась вся эта информация, причем пароль для доступа не требовался.

В результате этой оплошности исследователям удалось изъять внутреправительственные переговоры, записи звонков, местоположения устройств, текстовые сообщения, фотографии оружия и паспортов. Как видите, информация крайне чувствительная.

Шпионская программа для Android действовала более агрессивно, чем вариант для iOS. Одной из интересных возможностей Stealth Mango была способность определять, когда жертва была за рулем, на это время программа отключала передачу данных по Сети, а также получение SMS-сообщений.

Кроме этого, Stealth Mango определял местоположение устройства, а во время вызовов шпион мог контролировать фронтальную и основную камеры, а также отслеживать журналы вызовов и текстовых сообщений. Дошло до того, что корпорация Google включилась в борьбу со Stealth Mango, добавив специальные защитные функции в свою операционную систему Android.

Инструмент Tangelo для iOS не являлся копией Stealth Mango, однако сходства между двумя этими шпионами все же имелись. Как в случае с практически каждой программой такого класса для iPhone, Tangelo требует наличия джейлбрейка, это значит, что шпионской программе необходимо получить доступ к защищенным корпорацией Apple местам операционной системы.

После получения такого доступа Tangelo будет охотиться за базами данных таких приложений, как WhatsApp, Viber, Skype и Line. Метаданные многих фотографий на сервере злоумышленников говорили о том, что они были сделаны на камеру iPhone, следовательно, Tangelo приняла немаловажное участие в крупной утечке данных.

Специалисты отметили, что у киберпреступников в некоторых случаях, предположительно, был физический доступ к телефонам жертв. Этот вывод эксперты сделали, отследив цепочку, согласно которой шпионская программа устанавливалась в различных мастерских по ремонту смартфонов, которые возвращали жертве уже зараженное устройство.

Помимо этого, злоумышленникам также помогла социальная инженерия, которой преступники активно пользовались, пытаясь заставить пользователя выполнить нужную им последовательность действий.

Бабушка-шпион — гипербола или нет?

Теперь самое интересно — стоящие за TheOneSpy разработчики также связаны с инструментами Stealth Mango и Tangelo. TheOneSpy преподносится как «самое продвинутое приложение для слежки в мире», оно якобы позволяет «вести тайный мониторинг всей активности на устройствах Android, iPhone, Microsoft Windows и Apple Mac».

Как заявляют в TheOneSpy, их услугами пользуются 200 000 клиентов, которых ни разу не удалось обнаружить во время слежки. Именно так звучит слоган TheOneSpy, который озвучивается в соответствующем ролике на YouTube: «Даже ваша бабушка сможет успешно шпионить за владельцем любого телефона».

TheOneSpy очень похож на другую шпионскую программу — FlexiSpy, которая была задействована в правительственном шпионаже. Исследователям удалось выйти на разработчиков TheOneSpy, ими оказались пакистанцы, работающие в компаниях Appstertech и Ox-i-Gen.

Сложно сказать, насколько оправдан слоган TheOneSpy, однако чем проще шпионская программа будет в использовании, тем больше найдется желающих ей воспользоваться. При должном уровне заинтересованности в мониторинге активности своих родственников даже бабушка вполне сможет организовать шпионскую деятельность, установив простое приложение.

Насколько распространены шпионские программы в последнее время

Если опираться на различные отчеты все той же Lookout, не раз упомянутой здесь, то можно представить приблизительную картину распространенности этого вида вредоносных программ. Возьмем, к примеру, мессенджер Dardesh, вполне легитимно распространяющийся через официальный магазин Google Play. Dardesh после установки автоматически загружает второе приложение, которое собирает пользовательские данные.

Этот мессенджер обнаружили исследователи Lookout, которые утверждали, что приложение принадлежит к группе вредоносных программ Desert Scorpion. Более того, Dardesh рекламировался в одном из профилей на Facebook.

Рисунок 1. Реклама Dardesh в одном из профилей Facebook

Для iOS были похожие свои экземпляры. Например, приложение о погоде AccuWeather собирало данные о пользователях и передавало их компании Reveal Mobile, которая занимается монетизацией информации о местоположении. Причем передача данных осуществлялась даже в тех случаях, когда приложение не получало на это согласия. Специалист отметил, что за 36 часов наблюдений AccuWeather отправило информацию в RealMobile в общей сложности 16 раз.

В этом месяце Lookout сообщили об обнаружении одного из самых сложных образцов шпионской программы для мобильных устройств — Chrysaor. В течение трех лет этот вредонос оставался незамеченным для исследователей и пользователей, это было обусловлено его возможностями самоуничтожения. Шпион Chrysaor использовался в целевых атаках на активистов и журналистов.

Различные киберпреступные группировки правительственного уровня также привыкли использовать шпионские программы. Правда, там и класс самих программ и схемы разительно отличаются — видна рука профессионалов. Из известных случаев можно вспомнить, как знаменитая группа Fancy Bear использовала антивор для ноутбуков LoJack для кибершпионажа.

LoJack для ноутбуков (LoJack for Laptops) — специально разработанный инструмент, помогающий отслеживать и блокировать украденные ноутбуки. LoJack помогает удаленно блокировать и отслеживать местоположение украденного ноутбука, а также удалять на нем все файлы. В первую очередь это решение предназначено для корпоративных ИТ-сред, которые обеспокоены кражей офисного оборудования, на котором могут храниться важные разработки.

В какой-то момент специалисты обратили внимание, что несколько исполняемых файлов LoJack обменивались данными с серверами, которые, предположительно, находятся под контролем Fancy Bear.

В опубликованном Arbor Networks отчете утверждается, что пять исполняемых файлов приложения LoJack (rpcnetp.exe) связываются с четырьмя подозрительными серверами C&C. Трое из этих серверов в прошлом были связаны с Fancy Bear.

Эксперты утверждали, что киберпреступники могли модифицировать копии LoJack, внедрив туда бэкдор. Таким образом, программа превращается в инструмент для шпионажа.

Также можно вспомнить шпионскую программу Fauxpersky, авторы которой поступили оригинально, замаскировав свой зловред под Kaspersky Internet Security 2017. Fauxpersky написан на AutoIT или AutoHotKey, простых инструментах для написания небольших программ, преимущественно предназначенных для автоматизирования задач в Windows.

Этот вредонос отслеживал нажатия клавиш в активном окне, записывая их в текстовый файл, а затем передавая злоумышленникам.

А в марте стало известно, что шпионская программа Slingshot использовалась правительством США. Целью этой кибероперации были различные террористические организации, которые пользовались интернет-кафе для связи с командующими лицами. Эксперты уверены в том, что факт раскрытия Slingshot носит негативный характер, так как это могло привести к потере ценной для военных информации.

А в начале года СБУ заблокировала следящую за гражданами Украины вредоносную программу. Вредонос, как сообщалось, собирал данные с телефонов украинцев. Установленный на телефон шпион перехватывал телефонные разговоры, СМС и ММС-переписки, а также сообщения в различных популярных мессенджерах. Также фиксировалась геопозиция жертвы.

Выводы

А выводы, к сожалению, следуют неутешительные. Современный уровень развития различных программ позволяет создавать крайне простые в использовании инструменты для шпионажа. В погоне за клиентом некоторые конторы и в самом деле создают шпионские программы, которыми могла бы воспользоваться ваша бабушка.

Прибавим сюда еще потенциальную заинтересованность спецслужб в сборе определенной информации о гражданах — получим полный комплект паранойи. Однако мы бы не рекомендовали придавать большое значение развивающейся киберугрозе в виде шпионских программ, так как частная жизнь постепенно становится довольно размытым понятием и без них.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru