Поставщик шпионского ПО подозревается в атаках на пользователей WhatsApp
4 февраля 2021 года
Хакеры пытаются обманом заставить владельцев iPhone установить поддельное приложение WhatsApp с целью хищения их данных. Как показал проведенный специалистами Citizen Lab и Motherboard технический анализ приложения, к созданию вредоносной подделки имеет отношение итальянский производитель инструментов для сбора информации, предназначенных для спецслужб и правоохранительных органов.
Вредоносная кампания является примером зачастую недооцененных атак на iPhone, в ходе которых злоумышленники вынуждают жертв устанавливать на свои устройства конфигурационные файлы или так называемые профили Mobile Device Management (MDM). Поскольку стоимость эксплоитов для взлома iPhone неуклонно растет, для взлома телефонов поставщики правительственного вредоносного ПО все чаще используют MDM-профили.
Первыми атаку на пользователей WhatsApp обнаружили специалисты компании ZecOps. Они опубликовали связанные с инцидентом домен (config5-dati[.]com) и IP-адреса. Исследователи Citizen Lab Билл Марчак (Bill Marczak) и Бахр Абдул Раззак (Bahr Abdul Razzak) изучили домен и выявили еще несколько связанных с ним доменов.
Один из обнаруженных доменов служил хостингом для сайта, с которого загружалось поддельное приложение WhatsApp. На самом деле с сайта загружался особый конфигурационный профиль для iPhone, собиравший данные с телефона и отправлявший их хакерам.
Как пояснил Марчак, загрузка MDM-файла является только частью процесса инсталляции поддельной версии WhatsApp, содержащей шпионское ПО. Однако исследователям Citizen Lab не удалось собрать данные на втором этапе атаки. Другими словами, к каким еще данным на устройстве хакеры получают доступ на втором этапе атаки, специалистам выяснить не удалось. Также не удалось установить, на кого была нацелена вредоносная кампания. По мнению Марчака, вероятнее всего, атаки являются целенаправленными и направлены на узкий круг избранных жертв.
Изучив обнаруженные Citizen Lab домены, специалисты Motherboard нашли второй связанный с ними кластер доменов, а затем третий. Один домен из третьего кластера, check3[.]it, был зарегистрирован компанией «cy4gate srl», имеющей, согласно WHOIS, итальянский адрес.
Cy4Gate позиционирует себя как производителя инструментов для «киберэлектронной борьбы и разведки». Компания производит несколько продуктов, в том числе Epeius – инструмент для «законного перехвата» данных. В 2017 году Cy4gate представляла свои продукты комитету Сената Италии, а в прошлом году должна была стать разработчиком приложения для отслеживания заражений COVID-19, но в конечном итоге итальянское правительство передало заказ другой компании. Cy4gate является частью итальянского оборонного подрядчика Elettronica.
Помимо прочего, сертификат для шифрования, использующийся одним из IP-адресов, связанных с доменом, отображающим фишинговую страницу для загрузки поддельного приложения WhatsApp, упоминает название Epeius. Исследователи Citizen Lab также обнаружили, что один из доменов (config-1dati [.] com) в определенный момент возвращал страницу авторизации с логотипом Cy4gate и названием Epeius.
Источники править
Эта статья содержит материалы из статьи «Поставщик шпионского ПО подозревается в атаках на пользователей WhatsApp», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.