Lookout donosi o nowym narzędziu do inwigilacji zaprojektowanym przez firmę z sektora obronnego Rosji.
Badacze firmy Lookout w 2018 roku odkryli nowe złośliwe oprogramowanie na system Android nazwane Monokle. Od typowego oprogramowania szpiegującego — spyware — różni się tym, że jest ukierunkowane na konkretne osoby i organizacje. Świadczy o tym mały zestaw zainfekowanych aplikacji, które pełniły też swoją normalną funkcjonalność bez budzenia podejrzeń.
Z przeprowadzonych badań wynika, że narzędzia składające się na Monokle zostały napisane przez programistów rosyjskiej firmy Special Technology Centre Ltd. Spółka ta (skrót: STC) znana jest ze wspierania Rosyjskiego Głównego Zarządu Wywiadowczego podczas ingerencji w wybory prezydenckie w USA 2016 roku. Z tego względu STC – jako jedna z trzech firm— została objęta sankcjami przez prezydenta Baracka Obamę.
Pracownicy Lookout pierwszy raz mieli styczność ze złośliwym oprogramowaniem, które nie tylko jest trojanem zapewniającym zdalny dostęp do urządzenia, wykorzystującym zaawansowane techniki wykradania danych, ale również umożliwiającym instalowanie zdefiniowanych przez atakującego certyfikatów — w magazynie zaufanych certyfikatów zainfekowanego urządzenia. Może to prowadzić do przeprowadzenia skutecznego ataku man-in-the-middle — umożliwia on podszycie się pod obie strony komunikacji, podsłuchiwanie jej, a nawet modyfikacje przesyłanych wiadomości.
Urządzenia mobilne narażone na zaawansowane narzędzia do inwigilacji
Przypadek Monokle świetnie wpisuje się w obserwowaną od lat tendencje wzrostową tworzenia wysoce zaawansowanego złośliwego oprogramowania na urządzenia mobilne przez firmy oraz państwa. Jednak jest on szczególnie unikalny i zaawansowany ze względu na swój sposób działania:
- Monokle jest w stanie nadzwyczajnie skutecznie wykradać dane — bez uprawnień administratora. W bardzo dużym stopniu wykorzystuje do tego ułatwienia dostępu systemu Android.
- Przeprowadza rozpoznanie swojego celu wykorzystując słownik podpowiedzi/sugestii słów — najczęściej funkcja ta jest włączona domyślnie na tablecie, czy smartfonie.
- Nagrywa ekran blokady, dzięki czemu atakujący może zdobyć hasło, pin lub wzór ofiary do odblokowania urządzenia.
- Instaluje certyfikaty atakującego w magazynie zaufanych certyfikatów.
Klienci Lookout są chronieni przed Monokle prawie od początku 2018 roku, podczas gdy „projekt” ten nadal stanowi zagrożenie — jest cały czas rozwijany.
Inwigilacja urządzeń mobilnych ma tendencje wzrostową
Lookout cały czas odkrywa zaawansowane zagrożenia odkąd w 2015 roku doniósł wraz z Citizien Lab o jednym z najbardziej wyrafinowanych przypadków inwigilacji obywateli — „Pegasus”. Doniesienia firmy Lookout o narzędziach monitorowania od „Stealth Mango” aż po „Dark Caracal” świadczą nie tylko o zwiększającej się ilości takich zagrożeń, ale również o wzrastającym poziomie ich zaawansowania. Zarówno państwa jak i firmy, muszą postawić na rozwiązania chroniące przed coraz potężniejszymi zagrożeniami związanymi z inwigilacją urządzeń przenośnych.
