Ännu en regeringsstödd spionprogramtillverkare har arresterats efter att deras kunder använde falska Android-appar för att installera övervakningsprogram på sina mål, enligt en ny rapport.
På torsdagen publicerade Osservatorio Nessuno, en italiensk organisation för digitala rättigheter som studerar spionprogram, en rapport om en ny skadlig programvara som heter Morpheus. Detta spionprogram klär ut sig som en uppdateringsapp för mobiltelefoner och kan stjäla ett brett utbud av data från den riktade enheten.
Forskarnas resultat visar att spionprogram efterfrågas så högt av brottsbekämpande och underrättelsemyndigheter att det finns många företag som erbjuder tekniken, vissa verkar utanför allmänhetens ögon.
I det här fallet drog Osservatorio Nessuno slutsatsen att spionprogrammet var relaterat till IPS. IPS är ett italienskt företag som har tillhandahållit traditionell så kallad laglig avlyssningsteknik (vilket betyder verktyg som används av regeringar för att fånga in realtidskommunikation från individer när de flödar genom telefon- och internetleverantörsnätverk) i mer än 30 år.
Enligt IPS-webbplatsen är företaget verksamt i mer än 20 länder, men detta nämner troligen inte dess spionprogramprodukter, som har förblivit hemliga fram till idag. Företaget räknar flera italienska polisstyrkor bland sina kunder.
IPS svarade inte på TechCrunchs begäran om kommentarer till denna rapport.
Forskare kallar Morpheus för ett ”lågpris” spionprogram eftersom det bygger på en rudimentär infektionsmekanism som lurar mål att installera spionprogrammet själva.
Mer sofistikerade statliga spionprogramtillverkare, som NSO Group och Paragon Solutions, låter sina statliga kunder infektera sina mål med osynliga tekniker som kallas nollklicksattacker. Denna teknik installerar skadlig programvara på ett helt smygande och osynligt sätt genom att utnyttja dyra och svårupptäckta sårbarheter som kringgår en enhets säkerhetsförsvar.
I det här fallet anlitade myndigheterna samarbetet med målets mobiltelefonleverantör, som avsiktligt började blockera målets mobildata, sa forskare. Vid den tidpunkten skickade kommunikationsleverantören ett SMS till målet och uppmanade honom att uppdatera sin telefon och installera en app som han trodde skulle hjälpa honom att återfå åtkomst till sin telefondata. Detta är en strategi som har dokumenterats väl i andra incidenter som involverar andra italienska spionprogramtillverkare.
När det har installerats utnyttjar detta spionprogram Androids inbyggda tillgänglighetsfunktioner, vilket gör att spionprogrammet kan läsa data på offrets skärm och interagera med andra appar. Forskare säger att skadlig programvara var utformad för att komma åt alla typer av information på enheten.
Spionprogrammet uppmanade sedan till en falsk uppdatering, presenterade målet med en omstartsskärm och förfalskade slutligen WhatsApp-appen och bad målet att tillhandahålla biometri för att bevisa dess identitet. Utan att veta om målet lade den biometriska kranen till enheten till kontot och gav spionprogrammet full tillgång till WhatsApp-kontot. Detta är en känd strategi som används av ukrainska statliga hackare och nyligen spionage i Italien.
Gammalt företag och nytt spionprogram
Osservatorio Nessuno-forskare, som bad om att bli hänvisade till av Davide och Giulio endast med sina förnamn, drog slutsatsen att baserat på spionprogrammets infrastruktur tillhör spionprogrammet IPS.
I synnerhet var en av de IP-adresser som användes i kampanjen registrerad med ”IPS Intelligence Public Security”.
De två upptäckte också några kodfragment som innehöll italienska fraser. Detta verkar vara en tradition i den italienska spionprogramindustrin. Skadlig kod innehöll italienska ord, inklusive referenser till Gomorra, en berömd bok och TV-program om den napolitanska pöbeln, och ”spaghetti”.
Davide och Giulio sa till TechCrunch att även om de inte kunde ge detaljer om vilka målen var, trodde de att attacken var ”relaterad till politisk aktivitet” i Italien, där ”den här typen av riktade attacker nu är mycket vanliga.”
Forskare vid ett cybersäkerhetsföretag berättade för TechCrunch att deras företag spårar just denna skadliga programvara. Efter att ha granskat Osservatorio Nessunos rapport sa forskarna att skadlig programvara definitivt utvecklades av den italienska tillverkaren av övervakningsteknik.
IPS är den senaste i en lång lista av italienska tillverkare av spionprogram, som fyller tomrummet efter det sedan länge nedlagda italienska företaget Hacking Team, en av världens första tillverkare av spionprogram. Företaget kontrollerade en stor andel av den inhemska marknaden, exklusive försäljning utomlands, innan det hackades, och har sedan dess sålts och bytt namn. Under de senaste åren har forskare offentligt slagit flera italienska spionprogramtillverkare, inklusive CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab och nu senast SIO.
Tidigare denna månad meddelade WhatsApp omkring 200 användare som hade installerat en falsk version av appen, som egentligen var spionprogram skapad av SIO. 2021 avbröt italienska åklagare användningen av CY4GATE och SIO spionprogram på grund av allvarliga defekter.
Om du köper via länkar i våra artiklar kan vi tjäna en liten provision. Detta påverkar inte vårt redaktionella oberoende.
