Рыцари плаща и смартфона

Фото: Jordan Silverman / AP

«Лаборатория Касперского» раскрыла сеть из 320 серверов, которые шпионят за политиками и правозащитниками через мобильные телефоны

Елена Коваленко

25 июня, 2014 17:25

3 мин

Специалисты «Лаборатории Касперского» совместно с Citizen Lab обнаружили вирус, который заражает все известные операционные системы мобильных телефонов и дает полный доступ не только к внутренней информации устройства, но и позволяет снимать фото с встроенных камер и слушать звук с микрофона в онлайн-режиме.

За созданием программы стоит итальянская частная компания HackingTeam, которая поставляет вредоносное ПО спецслужбам и просто заинтересованным лицам, говорится в докладе компании. Вирус входит в состав Remote Control Systems (RCS), также известной под названием Galileo.

У вируса постоянно появляются новые варианты, которые фиксируются с помощью облачной инфраструктуры Kaspersky Security Network.

Жертвами вируса стали телефоны известных политиков, журналистов и правозащитников.

«К сожалению, мы не можем назвать их имена», — сообщила «Русской планете» руководитель пресс-службы «Лаборатории Касперского» Юлия Кривошеина.

Юлия Кривошеина. Фото: kaspersky.ru

Работоспособность системы поддерживают 320 серверов в 40 странах мира. В США расположены 64 сервера, 49 — в Казахстане, 35 — в Эквадоре, в России — всего пять. Ими необязательно пользуются государственные спецслужбы, считают специалисты компании, но несколько точек сети они однозначно определили как правительственные. Где стоят эти компьютеры, «Лаборатория Касперского» не уточняет.

«Наличие серверов инфраструктуры RCS в той или иной стране еще не свидетельствует о том, что местные спецслужбы причастны к использованию Galileo. Однако разумно предположить, что организации, которые работают с RCS, должны быть заинтересованы в том, чтобы их сервера располагались в местах, где у них был бы полный контроль над ними. Это позволяет нивелировать риски вмешательства правоохранительных органов других стран и изъятия серверов», — считает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

По словам специалиста, заражение каждого смартфона проходит по индивидуальному сценарию. Иногда злоумышленники пользуются вредоносными программами, но в основном троян попадает на устройство при подсоединении его к зараженному компьютеру через USB.

Особый интерес представляет способ заражения продуктов корпорации Apple, которые защищены от установки сторонних приложений. Для проникновения вируса на телефоне должна быть выполнена процедура jailbreak — не поддерживаемая Apple операция, которая позволяет пользователю получить доступ к файловой системе устройства. Процедура запускается во время подключения iPhone по USB, после чего и происходит установка вируса на мобильное устройство.

Еще одна хитрость, которую использует вирус, чтобы оставаться незаметным для пользователя, связана с энергопотреблением. Для того чтобы зараженный телефон не потреблял энергии больше, чем «чистый», многие процедуры запускаются при наступлении заранее установленных событий. К примеру, звук начинает записываться лишь тогда, когда жертва подключается к определенной Wi-Fi-сети, при смене SIM-карты или во время подзарядки устройства.

Вирус имеет широкие возможности для наблюдения за жертвой, включая передачу данных о местонахождении хозяина смартфона. Троян может снимать фотографии на обе камеры телефона, копировать данные о встречах из календаря, регистрировать новые SIM-карты, которые вставляются в телефон, а также перехватывать вызовы и сообщения, включая те, что идут через приложения VIber, WhatsApp и Skype.

Год назад «Лаборатория Касперского» уже публиковала данные о связи вирусов Morcut и Korablin с компанией Hacking Team. Такое заключение специалисты сделали, исходя из идентичности этих троянов и официальной программы Hacking Team — RCS, — которую разработчик позиционирует как программу для слежения за компьютерами и телефонами подозреваемых в преступлениях. Окончательным же подтверждением гипотезы об авторстве программы стал тот факт, что загрузка вирусов производилась с сайта фирмы.

«Еще несколько лет назад шпионские программы по заказу писали хакеры, одиночки или группы подобных им разработчиков, и это было совершенно неофициально и незаконно. Теперь же появились частные компании, которые, согласно информации на их официальных сайтах, разрабатывают и предлагают правоохранительным органам программы для сбора информации с компьютеров пользователей. И, несмотря на наличие в большинстве стран законов, запрещающих создание и распространение вредоносных программ, программы-шпионы предлагаются практически без какой-либо маскировки их функций. При этом компании, разрабатывающие шпионское ПО, по нашим данным, не несут ответственности за дальнейшую судьбу созданных ими программ, которые могут использоваться для слежки, в межгосударственном шпионаже или же с традиционной для обычного киберкриминала целью обогащения. И анализ программы Remote Control System лишь стал очередным подтверждением этой тенденции», — считает Голованов.

ТЕГИ

поддержать проект

Для поднятия хорошего настроения, вы можете угостить наших редакторов чашечкой кофе

Маленькая чашка кофе