Producător italian de spyware, prins cu aplicații Android false de actualizare care spionează utilizatorii

Un nou producător de spyware guvernamental a fost depistat după ce clienții săi au folosit aplicații Android false pentru a instala software de supraveghere pe telefoanele țintelor, arată un nou raport.

Joi, organizația italiană pentru drepturi digitale Osservatorio Nessuno, care cercetează fenomenul spyware, a publicat un raport despre un nou malware numit Morpheus. Acest spyware se prezintă ca o aplicație de actualizare a telefonului și este capabil să fure o gamă largă de date din dispozitivul vizat.

Concluziile cercetătorilor arată că cererea de spyware din partea forțelor de ordine și a agențiilor de informații este atât de mare, încât a apărut un număr ridicat de companii care oferă astfel de tehnologii, unele operând complet în afara reflectoarelor publice.

În acest caz, Osservatorio Nessuno a ajuns la concluzia că spyware-ul este legat de IPS, o companie italiană care operează de peste 30 de ani și furnizează tehnologii tradiționale de așa‑numită interceptare legală, adică instrumente folosite de guverne pentru a capta în timp real comunicațiile unei persoane care trec prin rețelele operatorilor de telefonie și internet.

Potrivit site-ului IPS, compania activează în mai mult de 20 de țări, deși această mențiune probabil nu se referă la produsul său de spyware, care până astăzi a rămas secret. IPS enumeră printre clienți mai multe structuri de poliție din Italia.

Firma nu a răspuns solicitării de comentarii cu privire la acest raport.

Cercetătorii au numit Morpheus un spyware „low cost” deoarece se bazează pe un mecanism rudimentar de infectare: convingerea țintei să își instaleze singură aplicația de supraveghere.

În contrast, producători mai avansați de spyware guvernamental, precum NSO Group sau Paragon Solutions, oferă clienților lor guvernamentali posibilitatea de a infecta țintele prin tehnici invizibile, așa-numitele atacuri zero-click. Acestea instalează malware-ul în mod complet ascuns, profitând de vulnerabilități costisitoare și greu de identificat, care sparg barierele de securitate ale dispozitivului.

În cazul Morpheus, cercetătorii afirmă că autoritățile au primit sprijinul furnizorului de telefonie mobilă al țintei. Acesta a început să blocheze în mod deliberat datele mobile ale utilizatorului. În acel moment, compania de telecomunicații i-a trimis victimei un SMS prin care o îndemna să instaleze o aplicație ce ar fi trebuit să ajute la actualizarea telefonului și la recăpătarea accesului la datele celulare. Este o strategie bine documentată și în alte cazuri, în care au fost implicați alți producători italieni de spyware.

După instalare, spyware-ul a abuzat de funcțiile integrate de accesibilitate ale Android, care îi permit să citească datele afișate pe ecranul victimei și să interacționeze cu alte aplicații. Malware-ul a fost conceput astfel încât să poată accesa tot felul de informații stocate pe dispozitiv, spun cercetătorii.

Programul malițios a afișat apoi un fals ecran de actualizare, a arătat un ecran de repornire a telefonului, iar în final a imitat interfața aplicației WhatsApp, cerând victimei să își furnizeze datele biometrice pentru a demonstra că este titularul contului. Fără ca utilizatorul să știe, atingerea biometrică a oferit spyware-ului acces complet la contul său de WhatsApp, prin adăugarea unui dispozitiv nou la acel cont. Această tactică este deja cunoscută și a fost folosită de hackeri guvernamentali în Ucraina, precum și într-o recentă campanie de spionaj din Italia.

Cercetătorii Osservatorio Nessuno, care au cerut să fie menționați doar după prenumele lor, Davide și Giulio, au concluzionat că spyware-ul aparține companiei IPS pe baza infrastructurii folosite de malware.

În special, una dintre adresele IP utilizate în campanie era înregistrată pe numele „IPS Intelligence Public Security”.

Cei doi au descoperit și mai multe fragmente de cod care conțineau expresii în limba italiană, lucru ce pare să fi devenit o tradiție în industria italiană de spyware. În codul malware-ului apăreau termeni italieni, inclusiv referințe la Gomorra, celebrul volum și serial TV despre mafia napolitană, dar și cuvântul „spaghetti”.

Davide și Giulio au declarat că nu pot oferi detalii precise despre identitatea țintei, însă cred că atacul este „legat de activismul politic” din Italia, un domeniu în care „acest tip de atacuri țintite sunt foarte frecvente în zilele noastre”.

Un cercetător de la o firmă de securitate cibernetică a afirmat că instituția sa monitorizează de ceva vreme acest malware specific. După ce a analizat raportul Osservatorio Nessuno, cercetătorul a spus că malware-ul este cu siguranță dezvoltat de un producător italian de tehnologie de supraveghere.

IPS se adaugă unei liste lungi de dezvoltatori italieni de spyware care au umplut golul lăsat de fosta companie Hacking Team, una dintre primele firme de acest tip din lume. Aceasta controla o mare parte din piața locală, dar vindea și în străinătate, până când a fost piratată, apoi vândută și rebranduită. În ultimii ani, cercetătorii au expus public mai mulți producători italieni de spyware, printre care CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab și, mai recent, SIO.

La începutul acestei luni, WhatsApp a notificat în jur de 200 de utilizatori care au instalat o versiune falsă a aplicației, ce s-a dovedit a fi de fapt spyware creat de SIO. În 2021, procurorii italieni au suspendat utilizarea spyware-ului CY4GATE și SIO din cauza unor disfuncționalități grave.