导 读
一名被指控向乌克兰捐款的俄罗斯程序员在今年早些时候被拘留后,他的 Android 设备被联邦安全局 (FSB) 秘密植入了间谍软件。
该发现是第一部门和多伦多大学公民实验室合作调查的一部分。
报告称:“安装在设备上的间谍软件可以让操作员追踪目标设备的位置,记录电话通话和击键,以及阅读加密消息应用程序中的消息等。”
2024 年 5 月,基里尔·帕鲁贝茨 (Kirill Parubets) 被俄罗斯当局行政拘留 15 天后获释,在此期间,他的手机(一部运行 Android 10 的 Oukitel WP7 手机)被没收。
在此期间,他不仅遭受殴打,被迫说出设备密码,还遭受“严厉打击”,以招募他成为俄罗斯联邦安全局的线人,否则将面临终身监禁。
在同意为该机构工作后,俄罗斯联邦安全局将他的设备归还给了卢比扬卡总部,尽管只是为了拖延时间。就在这时,帕鲁贝茨开始注意到手机出现了异常行为,包括一条显示“Arm cortex vx3 同步”的通知。
进一步检查 Android 设备后发现,它确实被正版Cube Call Recorder应用程序的木马版本篡改了。值得注意的是,合法应用程序的包名称为“com.catalinagroup.callrecorder”,而恶意应用程序的包名称为“com.cortex.arm.vx3”。
这款假冒应用程序会请求侵入性权限,以便收集各种数据,包括短信、日历、安装附加软件包和接听电话。它还可以访问精确位置、记录电话和读取联系人列表,而所有这些功能都是合法应用程序的一部分。
公民实验室表示:“该应用程序的大多数恶意功能都隐藏在间谍软件加密的第二阶段中。一旦间谍软件被加载到手机上并执行,第二阶段就会被解密并加载到内存中。”
第二阶段包含记录击键、提取文件和存储的密码、读取其他消息应用程序的聊天、注入 JavaScript、执行 shell 命令、获取设备解锁密码,甚至添加新的设备管理员的功能。
该间谍软件还与 Lookout 在 2019 年记录的另一款 Android 间谍软件Monokle有一定程度的重叠,这增加了它可能是更新版本或通过重复使用 Monokle 的代码库构建的可能性。具体来说,已发现这两种病毒株之间的一些命令和控制 (C2) 指令是相同的。
公民实验室表示,还在源代码中发现了对 iOS 的引用,这表明该间谍软件可能存在 iOS 版本。
“该案例表明,如果设备落入像俄罗斯联邦安全局这样的机构的手中,将带来严重的安全风险,而且这种风险会在安全机构保管设备之后持续存在。”公民实验室的报告称。
对于基里尔来说,事态的发展似乎只有两个选择:为FSB工作并帮助他们监禁朋友,或者监禁自己。但帕鲁贝茨都拒绝了,并决定逃往国外,尽管安全部队拿走了他和妻子的外国护照。
这对夫妇关掉了手机,买了一个特殊的设备——法拉第笼——可以隔离电子设备,不允许它们被追踪。他们按照人权活动人士的指示行事,没有在任何地方用卡支付,使用别人的汽车逃跑,并在安全的地方越过边境。
结果,这位被俄罗斯最有影响力的情报部门招募、被指控犯有叛国罪、智能手机上安装了间谍软件的年轻人,得以与妻子成功逃离该国。
技术报告:https://citizenlab.ca/2024/12/device-confiscated-by-russian-authorities-returned-with-monokle-type-spyware-installed/
新闻链接:
https://thehackernews.com/2024/12/fsb-uses-trojan-app-to-monitor-russian.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
俄黑客利用 Cloudflare Tunnels和 DNS Fast-Flux 隐藏 GammaDrop 恶意软件针对乌克兰
https://thehackernews.com/2024/12/hackers-leveraging-cloudflare-tunnels.html
俄罗斯联邦安全局利用木马应用程序监控被指控支持乌克兰的俄罗斯程序员
https://thehackernews.com/2024/12/fsb-uses-trojan-app-to-monitor-russian.html
APT-C-60 黑客在 SpyGlace 恶意软件活动中利用 StatCounter 和 Bitbucket
https://thehackernews.com/2024/11/apt-c-60-exploits-wps-office.html
一般威胁事件
General Threat Incidents
美国医疗保健公司Atrium Health 数据泄露影响 585,000 人
https://www.securityweek.com/atrium-health-data-breach-impacts-585000-people/
More_eggs恶意软件利用 RevC2 后门和 Venom Loader 扩展运营
https://thehackernews.com/2024/12/moreeggs-maas-expands-operations-with.html
伪装成会议应用程序的加密货币窃取恶意软件瞄准 Web3 专业人士
https://www.bleepingcomputer.com/news/security/crypto-stealing-malware-posing-as-a-meeting-app-targets-web3-pros/
罗马尼亚选举系统遭受超过 85,000 次网络攻击
https://www.bleepingcomputer.com/news/security/romanias-election-systems-targeted-in-over-85-000-cyberattacks/
加密聊天服务 Matrix 遭查封,230 多万条信息被解密
https://www.pcmag.com/news/encrypted-chat-service-seized-2m-messages-read
漏洞事件
Vulnerability Incidents
研究人员发现流行开源机器学习框架的缺陷
https://thehackernews.com/2024/12/researchers-uncover-flaws-in-popular.html
针对未修补的 Mitel MiCollab 漏洞的 PoC发布
https://www.securityweek.com/poc-exploit-published-for-unpatched-mitel-micollab-vulnerability/
SonicWall 修补安全访问网关中的 6 个漏洞
https://www.securityweek.com/sonicwall-patches-6-vulnerabilities-in-secure-access-gateway/
数百台 CISCO 交换机受到引导加载程序漏洞影响
https://securityaffairs.com/171729/security/cisco-switches-bootloader-flaw-cve-2024-20397.html
新的Windows0day漏洞:攻击者几乎无需用户交互即可窃取 NTLM 凭据
https://www.bleepingcomputer.com/news/security/new-windows-zero-day-exposes-ntlm-credentials-gets-unofficial-patch/
https://cybernews.com/security/windows-zero-day-attackers-can-steal-ntlm-credentials/
日本设备制造商确认存在路由器0day漏洞,并警告称完整补丁需数周才能推出
https://www.securityweek.com/i-o-data-confirms-zero-day-attacks-on-routers-full-patches-pending/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):俄安全部门利用木马应用程序监控被指控支持乌克兰的俄程序员
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论