Новая шпионская программа для Android обнаружена в телефоне, изъятом ФСБ России

После того как российский программист был задержан Федеральной службой безопасности (ФСБ) России на пятнадцать дней, а его телефон конфискован, выяснилось, что по возвращении на его устройство была тайно установлена новая шпионская программа.
Программист Кирилл Парубец был арестован ФСБ после того, как его обвинили в пожертвовании Украине. Получив доступ к своему мобильному устройству, программист заподозрил, что оно подверглось вмешательству со стороны российского правительства, после того как на нем появилось необычное поведение и уведомление "Arm cortex vx3 synchronization".
После передачи устройства в Citizen Lab для проведения экспертизы следователи подтвердили, что на нем было установлено шпионское ПО, которое выдавало себя за легитимное и популярное приложение для Android "Cube Call Recorder", которое имеет более 10 000 000 загрузок в Google Play..
В отличие от легитимного приложения, программа-шпион имеет доступ к широкому спектру разрешений, что дает ей неограниченный доступ к устройству и позволяет злоумышленникам следить за действиями на телефоне.


Citizen Lab сообщает, что вредоносная программа, судя по всему, является новой версией Monokle, впервые обнаруженной Lookout в 2019 году и разработанной петербургским ООО "Центр специальных технологий". Возможно также, что новая вредоносная программа, обнаруженная на устройстве Парубец, является новым инструментом, который использует части кода Monokle в качестве основы.

"Многочисленные значительные сходства в операциях, функциональности и геополитических мотивах заставляют нас предположить, что это либо обновленная версия шпионской программы Monokle, либо новое программное обеспечение, созданное путем повторного использования большей части того же кода", - поясняет Citizen Lab.

Новая шпионская программа

Шпионская программа, внедренная ФСБ в телефон программиста, использует зашифрованный двухэтапный процесс, который повторяет архитектуру оригинального Monokle, но включает усовершенствования в шифровании и изменения в разрешениях. Ее возможности включают:

• Отслеживание местоположения во время бездействия
• Доступ к содержимому SMS, списку контактов и записям календаря
• Запись телефонных звонков, активности экрана и видео (через камеру)
• Извлечение сообщений, файлов и паролей
• Выполнение команд оболочки и расшифровка данных
• Выполнение кейлоггинга для получения конфиденциальных данных и паролей
• Доступ к сообщениям из приложений обмена сообщениями
• Выполнение команд оболочки и установка пакетов (APK)
• Извлечение паролей, хранящихся на устройстве, а также пароля разблокировки устройства
• Извлечение файлов с устройства

Citizen Labs отмечает, что второй этап содержит большую часть функциональности шпионской программы, а также включает в себя зашифрованные файлы с кажущимися случайными именами, чтобы усложнить обнаружение.
Аналитики также сообщают, что в коде шпионской программы были найдены ссылки на iOS, что указывает на возможность существования варианта, работающего на устройствах Apple iPhone.

05.12.2024
https://www.bleepingcomputer.com/ne...spyware-found-on-phone-seized-by-russian-fsb/​