Маскирующийся под PornHub вирус связали с работающими на власти российскими хакерами
Статья изначально вышла в американском Forbes. Российский Forbes публикует ее полный перевод.
Эксперты обнаружили шпионское программное обеспечение для Android, предположительно созданное одним из ключевых поставщиков систем слежения для российских властей. Оно скрывается в фейковых приложениях, которые маскируются под Evernote, Google Play, Pornhub и другие популярные приложения для Android.
Согласно отчету, опубликованному в среду канадским офисом специализирующейся на кибербезопасности компании Lookout, источником вредоносных приложений стала компания с непримечательным названием «Специальный технологический центр» (СТЦ). Петербургская компания оказалась под софитами после того, как попала под американские санкции еще при администрации Барака Обамы в связи с хакерскими атаками, направленными на вмешательство в выборы 2016 года.
Эксперты обнаружили, что разработанный СТЦ вирус собирал пароли и превращал телефоны в прослушивающие устройства. Вирус, который называется Monokle, может записывать изображения дисплеев на заблокированных телефонах, чтобы сохранять пароли, просматривать словари автонабора и узнавать интересы жертвы, а также записывать звонки и прослушивать микрофон зараженного телефона. Вредоносная программа заражает телефоны на Android с 2016 года, и в начале прошлого года ее активность возросла.
Вирус скрывается в поддельных версиях настоящих приложений, таких как Google Play, Evernote, Skype, сервис зашифрованной переписки Signal и PornHub.
Проанализировав выборку скопированных приложений, Lookout сообщила, что мишенью Monokle, вероятнее всего, являются говорящие на английском люди, жители Кавказа и те, кто интересуется радикальной сирийской группировкой «Ахрар-аш-Шам» (запрещена в России). Последний вывод появился из-за того, что у жертв было установлено приложение под названием Ahrar Maps. Все, кто интересовался мессенджером UzbekChat, также могли стать жертвами вируса.
С учетом большой востребованности приложений определить, какие именно группы носителей английского языка попали под удар, невозможно, признает Адам Бауэр, старший инженер Lookout по вопросам национальной разведки. «Трудно сделать выводы, потому что это очень популярные приложения», — говорит Бауэр.
Он не смог сказать также, как жертвы могли скачать вредоносные программы вместо оригинальных приложений. Бауэр сообщил, что Apple и Google были уведомлены о результатах исследования.
Apple не ответила на запрос о комментарии. Google заявила, что ни одно из этих приложений никогда не предлагалось в Google Play Store. Кроме того, пользователи Android получат предупреждение, если Google Play Protect заметит на их устройстве вредоносные программы, сообщила компания.
Что такое СТЦ?
Исследователи утверждают, что Monokle — это продукт «Специального технологического центра», компании, которая занимается слежением и кибербезопасностью и попала под санкции США. В списке санкций, опубликованном в декабре 2016 года, о компании говорилось немного — только то, что она помогала российскому управлению военной разведки, ГРУ, «осуществлять радиотехническую разведку».
После введения санкций Forbes USA узнал об этой компании больше. Один источник, осведомленный о деятельности компании и пожелавший сохранить анонимность, рассказал Forbes USA, что компанией руководят выпускники Военной академии связи в Санкт-Петербурге, учебного заведения при Министерстве обороны, которое расположено в пяти минутах езды от штаб-квартиры СТЦ.
В учредительных документах компании, с которыми ознакомился Forbes USA, директором СТЦ назван Александр Митянин. В его интервью для сайта rspectr.com приводится краткая биография, где упоминается, что Митянин учился в военной академии и награжден медалями Министерства обороны.
Кроме того, Митянин назван директором СТЦ в брошюре, выпущенной к конференции российских правительственных подрядчиков ФедералЭКСПО. В этом документе говорится, что СТЦ была основана в 2001 году и что компания поставляет многофункциональные системы радиоконтроля для «всех федеральных структур Российской Федерации». Она также имеет лицензии на разработку и производство вооружений и военной техники. В брошюре приводятся изображения дрона, фургона для слежки и другого шпионского оборудования.
В выписках из ЕГРЮЛ (1, 2) генеральным директором организации назван Михайлов Владимир Алексеевич, а президентом — Александр Шишков. Об этих менеджерах мало что известно. По данным Lookout, всего в компании работает до 1500 сотрудников.
На момент публикации СТЦ не ответил на просьбу дать комментарии.
В числе компаний, также попавших в санкционный список Обамы в 2016 году, была компания ЦОР («Цифровое оружие и защита», ранее известна как EsageLab). Когда Forbes USA беседовал с ее основательницей Алисой Шевченко (она же Esage) вскоре после введения санкций, она заявила, что не имеет отношения к хакерским атакам на выборах 2016 года, и добавила, что считает, что ее сделали козлом отпущения.
Подробнее о проекте Алисы Шевченко читайте в материале: Контракт со взломом: как хакер построила бизнес за счет банков и корпораций
Правительство США до сих пор не объяснило, какую роль, по его мнению, она, СТЦ и другой подрядчик под названием «Профессиональное объединение конструкторов систем информатики» сыграли в атаке на Демократический национальный комитет и утечке тысяч писем с чувствительной информацией.
От Android до iPhone
Обнаружение шпионского инструмента на Android показывает, что СТЦ расширяет свои возможности слежения, которые раньше были направлены на перехват радио- и спутниковых сигналов, а не на взлом смартфонов. Действительно, компания, пожалуй, известна в первую очередь как производитель дрона «Орлан-10», которым пользуется Российская армия.
Но складывается впечатление, что СТЦ начинает работать не только с системами Google, но и с мобильными программами для iPhone от Apple. Forbes USA обнаружил объявления 2017 года о том, что СТЦ ищет разработчиков iOS и Android. Lookout также сообщила, что нашла свидетельства того, что СТЦ разрабатывала и вирусы для iPhone. В коде вредоносных программ для Android был фрагмент, относящийся к Apple Keychain, где iOS хранит пароли. Похоже, другие фрагменты кода перехватывали логины от Apple HealthKit и iCloud. Lookout полагает, что эти отсылки могли быть включены в код, потому что сейчас уже ведется работа над вирусами для iPhone на основе схожей инфраструктуры.
Кроме того, Lookout утверждает, что СТЦ разрабатывает инструменты кибербезопасности для властей. Эксперты компании сообщили, что смогли проследить происхождение вируса для Android до СТЦ, потому что он использовал некоторые из тех же серверов и сертификатов подписи (их задача — обеспечить подлинность приложений), что и антивирус Defender для Android, также разработанный российским подрядчиком. По данным Lookout, Defender продавали правительству.
На той же неделе, когда было опубликовано исследование Lookout, стало известно о том, что атаке подвергся другой подрядчик российских властей, Sytech, и терабайты файлов, связанных с его работой для ФСБ, утекли в сеть. Как и США, России сложно хранить в тайне свои подпольные операции.
Перевод Натальи Балабанцевой