视频: ® å ∂ i ø å ç † i √ £ (十一月 2024)
安全研究人员已经剖析并分析了世界各国政府使用的商业间谍软件的移动组件,这些组件可用于秘密记录和窃取移动设备中的数据。
卡巴斯基实验室和公民实验室的研究人员称,远程控制系统的移动模块由意大利公司Hacking Team开发,可让执法和情报机构在Android,iOS,Windows Mobile和BlackBerry设备上执行各种监视操作。多伦多大学蒙克全球事务学院。 Hacking Team向政府出售RCS(也称为达芬奇和伽利略),以监视台式计算机,笔记本电脑和移动设备。 在某些国家/地区,RCS被用来监视政治持不同政见者,记者,人权倡导者和反对派政治人物。
卡巴斯基实验室和Citizen Lab研究人员共同对移动模块进行了逆向工程,Citizen Lab的Morgan Marquis-Boire和Kaspersky的Sergey Golovanov在周二的伦敦新闻发布会上介绍了他们的发现。
Golovanov在Securelist博客上写道:“在很长一段时间内,众所周知的事实是HackingTeam产品包含用于手机的恶意软件。但是,这种情况很少见。”
RCS可以做什么
iOS和Android组件可以记录击键,获取搜索历史记录数据,并允许秘密收集电子邮件,文本消息(甚至包括从诸如WhatsApp之类的应用程序发送的消息),呼叫历史记录和地址簿。 他们可以为受害者的屏幕截图,使用手机的摄像头拍照或打开GPS监视受害者的位置。 他们还可以打开麦克风以记录电话和Skype通话以及在设备附近发生的对话。
Golovanov写道:“巧妙地激活麦克风并定期进行摄影可以提供对目标的持续监视,这比传统的斗篷和匕首操作要强大得多。”
研究人员说,移动组件是针对每个目标定制的。 “一旦准备好样本,攻击者就会将其发送到受害者的移动设备。一些已知的感染媒介包括通过社交工程进行鱼叉式钓鱼(通常与零日攻击结合使用),以及在同步移动设备时通过USB电缆进行局部感染设备”,戈洛瓦诺夫说。
监视的长臂
RCS遍及全球,研究人员在40多个国家/地区发现了326台服务器。 大多数命令服务器都托管在美国,其次是哈萨克斯坦,厄瓜多尔,英国和加拿大。 研究人员说,命令服务器在这些国家中的事实并不一定意味着这些国家中的执法机构正在使用RCS。
Golovanov说:“但是,对于RCS的用户来说,将C&C部署在他们控制的位置是有意义的,因为在这些位置,跨境法律问题或服务器被扣押的风险最小。”
最新发现基于3月份的早期报告,研究人员发现RCS基础设施中至少有20%位于美国的十二个数据中心内。
隐藏在隐形模式下
市民实验室的研究人员在一个Android应用中发现了一个Hacking Team负载,该应用似乎是阿拉伯新闻应用Qatif Today的副本。 这种策略是将恶意有效载荷注入合法应用程序的副本中,这种做法在Android世界中相当普遍。 有效负载尝试利用旧版Android操作系统中的漏洞来获得设备上的root访问权限。
Citizen Lab的研究人员在博客文章中写道:“尽管这种攻击对最新版本的Android操作系统无效,但仍有很大一部分用户仍在使用可能容易受到攻击的旧版本。”
Android和iOS模块都采用了先进的技术来避免耗尽手机电池,限制手机在执行某些任务时在特定条件下运行以及谨慎操作,以使受害者保持警觉。 例如,只有当受害者连接到特定的WiFi网络时,才可以打开麦克风并进行录音。
研究人员发现,iOS模块仅影响越狱设备。 但是,如果将iOS设备连接到感染了该软件的台式机或笔记本电脑版本的计算机,则该恶意软件可以远程运行越狱工具(例如Evasi0n)来加载恶意模块。 所有这些都将在受害者不知情的情况下完成。
Citizen Lab还从匿名来源收到了一份貌似黑客团队用户手册的副本。 该文档详细解释了如何构建监视基础结构以将恶意有效载荷传递给受害者,如何管理从受害者设备收集的情报数据,甚至如何获得代码签名证书。
例如,该手册建议使用Verisign,Thawte和GoDaddy作为证书。 如果目标将使用Symbian设备,则指示攻击者直接从TrustCenter购买“开发人员证书”,并注册Microsoft帐户和Windows Phone开发中心帐户以感染Windows Phone。
这种监视软件背后的假设是,购买者将主要出于执法目的使用这些工具,而犯罪分子将无法使用它们。 但是,这些可用的事实意味着它们可用于出于政治动机的目标,这对整体安全性和隐私性有严重的影响。
