Итальянская работа. Обнаружена одна из мощнейших шпионских программ для Android

Томас Фокс-Брюстер Автор

Новые методики незаконного проникновения в смартфоны Android и кражи сообщений WhatsApp представляют одну из самых серьезных угроз

Италия считается родиной довольно нашумевшей индустрии производства шпионских программ для смартфонов. Компания Hacking Team, которая была позорно взломана в 2015 году, каким-то образом остается одним из крупных игроков. Но есть и другие, такие как IPS, Area IT и RCS. Эксперты российской компании «Лаборатория Касперского» обнаружили новую шпионскую программу, поражающую устройства на платформе Android, которая, по их мнению, была запущена итальянским производителем. Они считают, что новые методики незаконного проникновения в смартфоны Android и кражи сообщений WhatsApp представляют одну из самых мощных вредоносных программ, нацеленных на операционную систему Google, которые когда-либо встречались.

Хотя эксперты «Лаборатории Касперского» не называют имени итальянской компании, они обнаружили в коде шпионской программы множество ссылок на компанию Negg, находящейся в Риме. Forbes пытался связаться с одним из основателей Negg, Франческо Такконе, но не получил никакого ответа на момент публикации материала.

Архивные версии web-сайта Negg указывают, что компания предоставляла услуги по защите от кибератак и разработке программных приложений. Компания не рекламировала какие-либо средства и сервисы наблюдения, но она предлагала средства цифровой криминалистики для сбора данных с компьютеров, а также имелось видео, в котором объяснялось, как это может помочь органам власти в борьбе с преступностью. Согласно кэшированной версии сайта Negg, в 2015 году компания искала инженеров по разработке ПО для Android и iOS, предъявляя в качестве основного требования «знания методик динамического и статического анализа вредоносных программ». По словам экспертов «Касперского» шпионские программы были наиболее активны в 2015 году.

По информации из двух источников, которые хорошо знакомы с системами разведки и наблюдения Италии, Negg была небольшой компанией, которая работала с прокурорами, в первую очередь, в Италии, а не в других странах, как это делали Hacking Team, Area, IPS и другие: «Они работают сейчас с полицией, заполняя тот пробел, который остался после Hacking Team».

Итальянская работа

На основании расследования, проведенного экспертами «Лаборатории Касперского», было обнаружено только несколько заражений, и все они были в Италии. Российский поставщик антивирусных программ пришел к выводу, что программное обеспечение, которое он назвал Skygofree, было одним из самых мощных, нацеленных на операционные системы Android. «В результате длительного процесса разработки появилось множество исключительных средств: использование некоторых методов для получения привилегий суперпользователя (root), сложной структуры передаваемых данных, и не виданные ранее функции наблюдения и слежки», — пишут эксперты компании в блоге во вторник.

Они сказали, что, вероятно, разработка этой программы началась еще в 2014 году. По состоянию на октябрь 2017 года, когда «Лаборатория Касперского» впервые обнаружила техники наблюдения, эти средства могли записывать звук через микрофон, если инфицированное устройство находилось в определенном месте, а также инициировать подключение целевого устройства к сетям Wi-Fi, контролируемым злоумышленником.

В программе Skygofree также использовался новый метод наблюдения за сообщениями WhatsApp через сервисы по обеспечению доступа, предоставляемые Google для людей с ограниченными возможностями. «Передаваемые данные используют сервис по обеспечению доступа Android для получения информации непосредственно с элементов, отображаемых на экране, то есть, они ожидают запуска программы и затем анализируют все узлы для поиска текстовых сообщений», — пишет «Касперский». По сути, сервисы по обеспечению доступа предоставляют путь в другие приложения, поскольку они имеют разрешение на это через API-интерфейс прикладных программ.

Средства наблюдения предоставлялись через некоторые web-сайты, включая фиктивные страницы обновления сети, от различных крупнейших операторов телекоммуникаций, таких как Three и Vodafone. Все эти средства были зарегистрированы в 2015 году. Сотрудники «Лаборатории Касперского» также обнаружили программную закладку Windows, разработанную в 2017 году, но они не смогли найти инфицированные компьютеры.

Обычному пользователю не следует бояться программы Skygofree; похоже, этот сервис в ограниченном доступе и предоставляется компанией на рынке систем «полицейского перехвата». Поскольку существует соответствующее разрешение судов, правоохранительные органы по всему миру могут использовать такие средства наблюдения (хотя, во многих случаях, есть и противоречивые суждения, как это было с технологиями слежки Hacking Team и израильского провайдера NSO Group).

Хотя использование шпионского ПО Skygofree ограничено Италией, исследователь «Лаборатории Касперского» Висенте Диаз считает, что именно органы государственного управления по всему миру, вероятнее всего, будут все больше инвестировать в подобные средства шпионской слежки на смартфонах. «Даже если это ПО широко не распространено и имеет свое целевое назначение, такие средства шпионажа, спонсируемые государством, будут точно использоваться на мобильных устройствах в будущем, — говорит Диаз Forbes. — Я думаю, мы уже близки к этому».

Перевод Натальи Танюк