Vídeo: App Espião Usado pela Polícia!!! - Spymaster Pro (Outubro 2024)
Pesquisadores de segurança dissecaram e analisaram os componentes móveis de spywares comerciais usados por governos em todo o mundo, que podem ser usados para registrar e roubar clandestinamente dados de dispositivos móveis.
Desenvolvidos pela empresa italiana Hacking Team, os módulos móveis do Sistema de Controle Remoto permitem que as agências policiais e de inteligência realizem uma ampla gama de ações de vigilância em dispositivos Android, iOS, Windows Mobile e BlackBerry, de acordo com pesquisadores da Kaspersky Lab e do Citizen Lab na Escola Munk de Assuntos Globais da Universidade de Toronto. A Hacking Team vende o RCS, também conhecido como Da Vinci e Galileo, aos governos para espionar computadores, laptops e dispositivos móveis. Em alguns países, o RCS é usado para espionar dissidentes políticos, jornalistas, defensores dos direitos humanos e figuras políticas opostas.
Os pesquisadores da Kaspersky Lab e Citizen Lab realizaram uma engenharia reversa conjunta dos módulos móveis, e o Morgan Marquis-Boire do Citizen Lab e Sergey Golovanov da Kaspersky apresentaram suas descobertas em um evento de imprensa na terça-feira em Londres.
"É um fato bem conhecido há algum tempo que os produtos HackingTeam incluíam malware para telefones celulares. No entanto, eles raramente eram vistos", escreveu Golovanov no blog Securelist.
O que a RCS pode fazer
Os componentes iOS e Android podem registrar pressionamentos de teclas, obter dados do histórico de pesquisa e permitir a coleta secreta de e-mails, mensagens de texto (mesmo as enviadas de aplicativos como o WhatsApp), histórico de chamadas e catálogos de endereços. Eles podem tirar capturas de tela da tela da vítima, tirar fotos com a câmera do telefone ou ligar o GPS para monitorar a localização da vítima. Eles também podem ligar o microfone para gravar chamadas telefônicas e pelo Skype, bem como conversas que ocorrem nas proximidades do dispositivo.
"Ativar secretamente o microfone e tirar fotos regulares da câmera fornece vigilância constante do alvo - que é muito mais poderoso do que as operações tradicionais de manto e adaga", escreveu Golovanov.
Os componentes móveis são personalizados para cada alvo, disseram os pesquisadores. "Quando a amostra está pronta, o atacante a entrega ao dispositivo móvel da vítima. Alguns dos vetores de infecção conhecidos incluem caça submarina por engenharia social - geralmente associada a explorações, incluindo dias zero; e infecções locais por cabos USB durante a sincronização de dispositivos móveis". dispositivos ", disse Golovanov.
O longo braço da vigilância
O RCS tem um amplo alcance global, com pesquisadores descobrindo a identificação de 326 servidores em mais de 40 países. A maioria dos servidores de comando estava hospedada nos Estados Unidos, seguida pelo Cazaquistão, Equador, Reino Unido e Canadá. O fato de os servidores de comando estarem nesses países não significa necessariamente que as agências policiais nesses países estejam usando o RCS, disseram os pesquisadores.
"No entanto, faz sentido para os usuários do RCS implantar C&Cs nos locais que controlam - onde há riscos mínimos de problemas legais transfronteiriços ou apreensões de servidores", disse Golovanov.
As descobertas mais recentes se baseiam em um relatório anterior de março, onde os pesquisadores descobriram que pelo menos 20% da infraestrutura do RCS estava localizada em uma dúzia de data centers nos Estados Unidos.
Escondendo no modo furtivo
Os pesquisadores do Citizen Lab descobriram uma carga útil da Hacking Team em um aplicativo Android que parecia ser uma cópia do Qatif Today, um aplicativo de notícias em árabe. Esse tipo de tática, onde cargas maliciosas são injetadas em cópias de aplicativos legítimos, é bastante comum no mundo Android. A carga útil tenta explorar uma vulnerabilidade em versões mais antigas do sistema operacional Android para obter acesso root no dispositivo.
"Embora essa exploração não seja eficaz em relação à versão mais recente do sistema operacional Android, uma alta porcentagem de usuários ainda usa versões herdadas que podem ser vulneráveis", escreveram os pesquisadores do Citizen Lab em um post do blog.
Os módulos Android e iOS empregam técnicas avançadas para evitar o esgotamento da bateria do telefone, restringindo quando ele executa determinadas tarefas a condições específicas e operando discretamente para que as vítimas permaneçam inconscientes. Por exemplo, o microfone pode ser ligado e a gravação de áudio é feita apenas quando a vítima está conectada a uma rede Wi-Fi específica, disse Golovanov.
Os pesquisadores descobriram que o módulo iOS afeta apenas dispositivos com jailbreak. No entanto, se o dispositivo iOS estiver conectado a um computador infectado com a versão de desktop ou laptop do software, o malware poderá executar remotamente ferramentas de jailbreak, como o Evasi0n, para carregar o módulo malicioso. Tudo isso seria feito sem o conhecimento da vítima.
O Citizen Lab também recebeu uma cópia do que parece ser o manual do usuário da Hacking Team de uma fonte anônima. O documento explica detalhadamente como construir a infraestrutura de vigilância para entregar as cargas maliciosas às vítimas, como gerenciar os dados de inteligência coletados dos dispositivos das vítimas e até como obter certificados de assinatura de código.
Por exemplo, o manual sugere o uso da Verisign, Thawte e GoDaddy para os certificados. Os invasores são instruídos a comprar um "Certificado de desenvolvedor" diretamente do TrustCenter se o destino estiver usando um dispositivo Symbian e a se registrar em uma conta da Microsoft e uma conta do Windows Phone Dev Center para infectar o Windows Phone.
A suposição por trás desse tipo de software de vigilância é que os compradores usarão essas ferramentas principalmente para fins de aplicação da lei e que elementos criminais não terão acesso a eles. No entanto, o fato de estarem disponíveis significa que podem ser usadas contra alvos de motivação política, o que tem sérias implicações para a segurança e privacidade gerais.
