此篇文章发布距今已超过14天,您需要注意文章的内容或图片是否可用!
一名俄罗斯程序员被俄罗斯联邦安全局(FSB)拘留了15天并且他的手机被没收后,人们发现他的设备在归还后被秘密安装了新的间谍软件。程序员 Kirill Parubets 因被控向乌克兰捐款而被俄罗斯联邦安全局逮捕。在重新获得移动设备访问权限后,该程序员怀疑该设备遭到了俄罗斯政府的篡改,因为该设备表现出异常行为并显示一条通知,内容为“Arm cortex vx3 同步”。在与Citizen Lab 共享数据进行取证分析后,调查人员确认该设备上安装了间谍软件,该软件模仿了合法且流行的 Android 应用程序“Cube Call Recorder”,该应用程序在 Google Play 上的下载量超过 10,000,000 次。但与合法应用程序相反,间谍软件拥有广泛的权限,可以不受限制地访问设备,并允许攻击者监视手机上的活动。Citizen Lab 报告称,该恶意软件似乎是 Monokle 的新版本,由 Lookout 于 2019 年首次发现,由位于圣彼得堡的特殊技术中心有限公司开发。在 Parubets 设备中发现的新恶意软件也可能是一种以 Monokle 代码部分为基础的新工具。Citizen Lab 解释道:“在操作、功能和地缘政治动机方面有许多显著的相似之处,这使我们判断这要么是 Monokle 间谍软件的更新版本,要么是使用大量相同代码创建的新软件。”FSB 在程序员的手机中植入的间谍软件使用加密的两阶段过程,该过程反映了原始 Monokle 的架构,但包括加密方面的进步和权限的变化。Citizen Lab 指出,第二阶段包含间谍软件的大部分功能,还包括看似随机名称的加密文件,以复杂化检测。分析师还报告称,在该间谍软件的代码中发现了对 iOS 的引用,这表明该软件可能存在可在 Apple iPhone 设备上运行的变体。自 2019 版(上次记录)以来,显著的权限变化是添加了“ACCESS_BACKGROUND_LOCATION”和“INSTALL_PACKAGES”并删除了“USE_FINGERPRINT”和“SET_WALLPAPER”。设备被执法部门没收后又被归还的人应该换用其他设备或交给专家进行分析。那些生活在压迫性国家的人应该考虑在外出时使用“刻录机”设备,并面临被任意逮捕的风险,使用反间谍软件机制,如苹果的锁定模式,并保持操作系统和应用程序的更新。信息来源:BleepingComputer
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网
还没有评论,来说两句吧...