Як показав проведений фахівцями Citizen Lab і Motherboard технічний аналіз додатку, до створення шкідливої підробки має відношення італійський виробник інструментів для збору інформації, призначених для спецслужб і правоохоронних органів.
Шкідлива кампанія є прикладом часто недооцінених атак на iPhone, в ході яких зловмисники змушують жертв встановлювати на свої пристрої конфігураційні файли або так звані профілі Mobile Device Management (MDM). Оскільки вартість експлойтів для зламу iPhone неухильно зростає, для зламу телефонів постачальники урядового шкідливого ПЗ все частіше використовують MDM-профілі.
Першими атаку на користувачів WhatsApp виявили фахівці компанії ZecOps. Вони опублікували пов’язані з інцидентом домен (config5-dati [.] Com) і IP-адреси. Дослідники Citizen Lab Bill Marczak і Bahr Abdul Razzak вивчили домен і виявили ще кілька пов’язаних з ним доменів.
Один з виявлених доменів служив хостингом для сайту, з якого завантажувався підроблений додаток WhatsApp. Насправді з сайту завантажувався особливий конфігураційний профіль для iPhone, який збирав дані з телефону і відправляв їх хакерам.
Як пояснив Марчак, завантаження MDM-файлу є тільки частиною процесу інсталяції підробленої версії WhatsApp, що містить шпигунське ПЗ. Однак дослідникам Citizen Lab не вдалося зібрати дані на другому етапі атаки. Іншими словами, до яких ще даних на пристрої хакери отримують доступ на другому етапі атаки, фахівцям з’ясувати не вдалося. Також не вдалося встановити, на кого була націлена шкідлива кампанія. На думку Марчака, найімовірніше, атаки є цілеспрямованими і спрямовані на вузьке коло обраних жертв.
Вивчивши виявлені Citizen Lab домени, фахівці Motherboard знайшли другий пов’язаний з ними кластер доменів, а потім третій. Один домен з третього кластера, check3 [.] It, був зареєстрований компанією “cy4gate srl”, що має, згідно WHOIS, італійську адресу.
Cy4Gate позиціонує себе як виробника інструментів для “кіберелектронної боротьби і розвідки”. Компанія виробляє кілька продуктів, в тому числі Epeius – інструмент для “законного перехоплення” даних. У 2017 році Cy4gate представляла свої продукти комітету Сенату Італії, а в минулому році повинна була стати розробником програми для відстеження заражень COVID-19, але в кінцевому підсумку італійський уряд передав замовлення іншій компанії. Cy4gate є частиною італійського оборонного підрядника Elettronica.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ
Як не стати жертвою кібератаки? ПОРАДИ
Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу
П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ
Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.
Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.
Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.
До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.
