一名俄罗斯程序员被俄罗斯联邦安全局(FSB)拘留了15天,他的手机被没收,在他的手机被归还后,人们发现他的设备上秘密安装了一个新的间谍软件。
程序员基里尔·帕鲁贝茨(Kirill Parubets)在被指控向乌克兰捐款后被俄罗斯联邦安全局逮捕。在重新进入他的移动设备后,程序员怀疑它被俄罗斯政府篡改了,因为它表现出了不寻常的行为,并显示了一条通知,“Arm皮质vx3同步”。
在与公民实验室分享数据进行取证分析后,调查人员证实,该设备上安装了间谍软件,该软件模仿了一款合法且流行的安卓应用“Cube Call Recorder”,该应用在谷歌Play上的下载量超过1000万次。
公民实验室报告称,该恶意软件似乎是Monokle的新版本,由圣彼得堡特殊技术中心有限公司开发,于2019年由Lookout首次发现。
在Parubets的设备中发现的新恶意软件也有可能是一个使用Monokle部分代码作为基础的新工具。
公民实验室解释说:“在操作、功能和地缘政治动机方面有许多显著的相似之处,这使我们评估这要么是Monokle间谍软件的更新版本,要么是通过重用大部分相同的代码创建的新软件。”
新的间谍软件
俄罗斯联邦安全局在程序员手机中植入的间谍软件使用了一个加密的两阶段过程,该过程反映了最初的Monokle架构,但在加密和权限方面进行了改进。
其功能包括:
- 空转时轨迹位置
- 访问短信内容、联系人列表和日历条目
- 记录通话、屏幕活动和视频(通过摄像头)
- 提取消息、文件和密码
- 执行shell命令并解密数据
- 执行键盘记录以捕获敏感数据和密码
- 从消息应用程序访问消息
- 执行shell命令并安装包(apk)
- 提取存储在设备上的密码以及设备解锁密码
- 从设备中窃取文件
公民实验室指出,第二阶段包含大多数间谍软件的功能,还包括看似随机名称的加密文件,以使检测复杂化。
分析人士还报告说,他们在间谍软件的代码中发现了与iOS有关的内容,这表明可能存在一种可以在苹果iPhone设备上运行的变体。
自2019年版本以来,值得注意的权限变化是增加了“ACCESS_BACKGROUND_LOCATION”和“INSTALL_PACKAGES”,并删除了“USE_FINGERPRINT”和“SET_WALLPAPER”。
手机被执法部门没收后又归还的人应该换用另一台手机,或者把手机交给专家进行分析。
那些生活在专制国家的人应该考虑在户外使用“一次性”设备,并面临被任意逮捕的风险,使用反间谍软件机制,如苹果的锁定模式,并保持操作系统和应用程序的最新状态。
原文始发于微信公众号(HackSee):俄罗斯联邦安全局在手机上发现新的安卓间谍软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论