Троян віддаленого доступу для мобільного спостереження для Android під назвою Monokle був помічений із застосуванням нових методів для аналізу даних. Такого мобільного шпигунського інструменту фахівці раніше не зустрічали, пише ThreatPost.
За даними дослідників з компанії Lookout, які виявили Monokle,шкідливе програмне забезпечення має можливість самостійно підписувати довірені сертифікати для перехоплення зашифрованого трафіку SSL. Він також може записувати активність екрану блокування телефону, щоб отримати паролі, і може використовувати сервіси доступності для отримання доступу до сторонніх додатків.
“Хоча більшість його функціональних можливостей характерні для мобільного програмного забезпечення для шпигунства, Monokle унікальний тим, що використовує дійсні методи новими способами, щоб бути надзвичайно ефективним при ексфільтрації даних, навіть без доступу з правами root”, – йдеться у звіті компанії. – Окрім цього, Monokle використовує сервіси доступності Android для вилучення даних із сторонніх додатків та використовує словники з передбачуваним текстом, щоб зрозуміти теми, які цікавлять ціль. Monokle також намагатиметься записувати екран під час події розблокування екрана, щоб дізнатися PIN-код, шаблон жесту розблокування або пароль користувача.
З точки зору “самопідписання” Monokle з root-доступом здатний встановлювати додаткові сертифікати, визначені зловмисником, до надійних сертифікатів на зараженому пристрої, ефективно відкриваючи інформацію і пристрій для людини, що знаходиться в середині (MITM) атаки проти трафіку TLS. Для цього він сканує системні папки на смартфоні, щоб встановити вказаний зловмисником сертифікат у /system/etc/security/cacerts/”.
Інші функціональні можливості містять “ріг достатку” для шпигунських програм – можливість збирати інформацію про контакти та календарний розклад, записувати аудіо та дзвінки, отримувати електронні листи та повідомлення (у тому числі з WhatsApp, Skype та інших), робити фотографії та відео, відстежувати місцезнаходження пристрою та робити скріншоти. До інших функцій належать запис журналів, запис історії пошуку веб-переглядачів та історії дзвінків, взаємодія з популярними офісними програмами для отримання тексту документа, здійснення дзвінків та надсилання текстових повідомлень, відбитків пальців пристрою, пошуку облікових записів та пов’язаних паролів, та запис дій на екрані.
Він також може видаляти довільні файли та завантажувати нові, перезавантажувати пристрій та виконувати довільний код оболонки. Крім того, він може також отримувати у вигляді простого тексту пароль або PIN-код користувача. Також він може скинути PIN-код користувача.
Програмою-клієнтом можна керувати відразу декількома шляхами – SMS-повідомленнями, вхідними TCP-підключеннями до потоку прослуховування, вихідними маяками TCP до команд-керування, обміном повідомленнями електронною поштою через POP3 та SMTP та вхідними телефонними дзвінками. Згідно з даними Lookout, зовнішній трафік завжди тунелюється через TLS в останніх зразках програм.
Monokle, як найсучасніша зброя загрози, видається дуже націленим: він поширюється за допомогою обмеженого набору троянізованих додатків, що містять законну функціональність, щоб уникнути підозр у користувачів. Lookout спостерігав зразки, що відносяться до березня 2016 року, і його телеметрія показує, що активність, як видається, залишається невеликою, але послідовною. Активність програми сягнула найвищого рівня протягом першої половини 2018 року і триває до сьогодні.
Згідно з аналізом розглянутих Lookout додатків, Monokle, ймовірно, використовували для стеження за людьми у регіонах Кавказу та особами, зацікавленими у бойовій групі Ахрара аль-Шама в Сирії. Наприклад, заражений трояном додаток під назвою “Ahrar Maps” часто завантажувався в Сирії на початку 2017 року. Він був запропонований через сторонній сайт, який рекламує асоціацію з Ахрар-аль-Шамом.
“Є деякі свідчення, які вказують на потенційні цілі в файлах конфігурації та заголовках програм, які містили Monokle, – йдеться у звіті команди Lookout. – Зважаючи на заголовки та піктограми певних програм, ми робимо висновок, що люди, що знаходяться, в наступних групах є цілями Monokle:
а) люди, які зацікавлені в ісламі;
б) особи, які цікавляться або асоціюються з бойовою групою Ахрар аль-Шам в Сирії;
в) особи, які проживають у Кавказькому регіоні Східної Європи або пов’язані з ним;
г) люди, які можуть бути зацікавлені у програмі для обміну повідомленнями під назвою “UzbekChat”, що відомий у колишній радянській республіці Узбекистан “.
У кількох Android-зразках Monokle помічено невикористані команди та об’єкти передачі даних (DTO), які дозволяють припустити існування клієнтської версії для iOS, хоча жодної версії Monokle для iOS досі не бачили.
“Ці класи та команди, як видається, не служать частиною клієнта Android і, можливо, були створені та включені до нього ненавмисно”, – йдеться у звіті.
Переглянувши файли конфігурації декількох зразків із сімейства шкідливих програм, Lookout виявив, що вони функціонують через щонайменше 22 різні варіанти комунікації керуючих серверів, і вказав керуючі телефони, які використовують код +7. Це телефонний код Росії.
Дослідники віднесли Monokle до продуктів Спеціального технологічного центру (STC), російського оборонного підрядника, який раніше був включений до санційного списку урядом США при президенті Обамі за втручання у президентські вибори 2016 року. Дослідники Lookout заявили, що група має програмний пакет із оборонними та наступальними можливостями, які пропонує державним замовникам.
“Набір безпеки STC для Android і Monokle пов’язані один з одним за допомогою підписуючих сертифікатів та перекриття інфраструктури команд і управління, – йдеться у звіті. – Інфраструктура командування та управління, яка комунікує з програмою Defender [відомий продукт STC], також комунікує із зразками Monokle. Сертифікати для підписання, які використовують для підписання пакетів програм Android, також перетинаються між Defender та Monokle. Дослідники Lookout спостерігали додаткове перекриття за командами між Monokle та захисним програмним забезпеченням, виробленим STC при виборі розробників та впровадження авторів “.
Нагдаємо, Агентство національної безпеки США (АНБ) оголосило про створення нового підрозділу з кібербезпеки, який буде займатися захистом від зовнішніх кіберзагроз. Новий підрозділ отримає назву “Директорат із кібербезпеки” (Cybersecurity Directorate) і почне функціонувати з 1 жовтня 2019 року.
Також кожен інцидент витоку даних внаслідок хакерських атак обходиться великим компаніям у 4 млн. доларів в середньому. Про це йдеться у дослідженні IBM Security.