俄罗斯联邦安全局（FSB）对一名俄罗斯程序员使用了间谍软件

在拘留期间，当局查封了程序员的设备——一部运行Android 10系统的Oukitel WP7手机，并在其上安装了间谍软件。公民实验室发布的报告指出：“这项与First Department（一家法律援助组织）的联合调查发现，一名被指控向乌克兰汇款的俄罗斯程序员在获释后，其手机上被秘密植入了间谍软件。”“该间谍软件与Lookout Mobile Security此前报道的Monokle间谍软件系列有很多相似之处，他们将其归因于俄罗斯政府的承包商——‘特殊技术中心’。”

2024年6月，帕鲁贝茨向First Department报告，在15天的行政拘留期间，当局没收了他的安卓设备。帕鲁贝茨透露，他的公寓被搜查，他还遭到殴打，被迫透露其设备密码。

该间谍软件允许俄罗斯当局追踪目标设备的位置，记录电话和按键记录，以及读取加密消息应用程序中的消息。基里尔·帕鲁贝茨及其配偶被拘留，期间FSB向他施压，要求他成为线人，并威胁说如果他拒绝，将面临终身监禁。FSB对其工作和关系表现出极大的兴趣，包括与乌克兰的联系。

帕鲁贝茨获释后，他的手机在FSB卢比扬卡总部被归还。他注意到一些可疑行为，包括一条不寻常的通知：“Arm cortex vx3同步”，这对于该设备来说并不常见。First Department随后进行的分析确定，在他被拘留期间安装了一个可能是恶意的应用程序。然后，First Department请求公民实验室的支持来调查该设备。

对安卓设备的分析显示，俄罗斯情报机构在该设备上安装了一个特洛伊木马版本的正版Cube Call Recorder应用程序。值得注意的是，合法应用程序的包名称是“com.catalinagroup.callrecorder”，而恶意应用程序的包名称是“com.cortex.arm.vx3”。

该间谍软件通过其请求的广泛权限支持多种功能。恶意代码即使在未使用时也可以访问位置数据，读取和发送短信，安装其他软件包以及录制屏幕截图。它还可以读取日历条目，列出已安装的应用程序，接听电话，检索帐户详细信息以及使用设备的摄像头录制视频。此外，间谍软件还保留了在正版应用程序中也发现的一些权限，例如精确位置跟踪、记录电话和访问联系信息，这些都是许多间谍软件工具中的常见功能。这些扩展的功能表明，该恶意软件旨在对目标设备进行全面监控。

报告继续说道：“该应用程序的大部分恶意功能都包含在com.android.twe1ve类中，这是一个针对此间谍软件样本的唯一类，在Google Play商店中提供的Cube Call Recorder应用程序中不存在。”“该应用程序的大部分恶意功能都隐藏在间谍软件的加密第二阶段中。一旦间谍软件加载到手机上并执行，第二阶段就会被解密并加载到内存中。这种混淆方法可以帮助隐藏某些反病毒软件的恶意活动。”

间谍软件的第二阶段扩展了其功能，集成了核心Android库和开源工具，如用于音频/视频流的RTMP和用于文件上传的SMB。其功能包括位置跟踪、屏幕截图、按键记录、通话记录、文件提取、密码检索和读取其他应用程序的消息。它还可以添加新的设备管理员，注入JavaScript，执行shell命令以及提取设备的解锁密码。此外，它还会解密存储在其资源目录中的设置和数据文件。研究人员还注意到，恶意代码包含一些对iOS的引用，这表明该间谍软件可能存在iPhone版本。

报告总结道：“此案例表明，将设备的物理保管权交给像FSB这样的敌对安全部门，可能会带来严重的风险，这种风险将持续到安全部门保管设备的期限之后。”报告还包括了入侵指标（IoC）。“在本例中，目标在被拘留后注意到其设备上出现了一些奇怪的行为，例如不熟悉的可疑通知以及他未安装的应用程序的存在。然而，并非每次试图渗透和监控设备都可能导致如此明显的警报。”