«Лаборатория Касперского» (ЛК) обнаружила новые мобильные трояны для iOS и Android, входящие в состав платформы для слежки за пользователями Remote Control Systems (RCS) от компании HackingTeam. Об этом на конференции Going Underground в Лондоне рассказали специалисты ЛК.
Вредоносные модули являются частью платформы RSC, также известной как Galileo. Компания HackingTeam продает лицензии на ПО Galileo государственным, в том числе, правоохранительным, органам.
По данным «Лаборатории Касперского», среди возможных пользователей платформы — структуры в 21 стране, включая Мексику, Польшу, Турцию, Италию, ОАЭ, Египет, Азербайджан, Узбекистан, Казахстан и другие.
Вновь выявленные программы-трояны особенно активно заражают смартфоны iPhone, а среди жертв много журналистов, политиков и общественных активистов.
«Журналисты на удивление часто становятся объектами слежки. Примерно 21 из 25 новостных организаций являются целью государственных программ слежения», — сказал Морган Марки-Бур из исследовательской лаборатории Citizen Lab, участвовашей в расследовании.
Выявленные трояны могут передавать данные о местоположении жертвы, делать фотоснимки, копировать данные из календаря и информацию о новых sim-картах, а также перехватывать вызовы и сообщения из VIber, WhatsApp и Skype.
Операторы платформы создают индивидуальный вредоносный модуль для жертвы, на чье мобильное устройство он доставляется либо через уязвимость нулевого дня, либо во время синхронизации с компьютером по USB.
Особенно успешно у мобильного трояна Galileo удавалось заражать смартфоны iPhone, которые подверглись процедуре перепрошивки исходного программного обеспечения, установленного изготовителем. Кроме того, даже смартфоны Apple заводской сборки могут быть заражены через подключение к инфицированному компьютеру.
О существовании мобильных троянов для Android и iOS среди инструментов итальянского разработчика HackingTeam было известно и ранее. Однако до настоящего времени эксперты не могли их идентифицировать или заметить во время атак.
Шпионские функции начинают работать только после совершения некоторых действий — например, подключения к определенной сети, подзарядки аккумулятора или смены SIM-карты.
«Лаборатории Касперского» также удалось выявить местонахождение более 320 серверов, управляющих инфраструктурой Galileo, в более чем 40 странах. Большинство серверов размещается в США, Казахстане, Эквадоре, Великобритании и Канаде.
«Наличие серверов инфраструктуры RCS в той или иной стране еще не свидетельствует о том, что местные спецслужбы причастны к использованию Galileo. Однако организации, которые работают с RCS, должны быть заинтересованы в том, чтобы их сервера располагались в местах, где у них был бы полный контроль над ними», — заявил Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
Ранее организация «Репортеры без границ» включила HackingTeam в число организаций — «врагов интернета», помогающих властям контролировать сеть. В этот список, в том числе, входят компании Gamma, Trovicor, Amesys и Blue Coat, разработавшие специализированное ПО для слежки за интернет-пользователями.