Após a detenção de um programador russo pelo Serviço Federal de Segurança (FSB) da Rússia por quinze dias e a apreensão de seu celular, foi descoberto que um novo spyware havia sido secretamente instalado no dispositivo antes de ser devolvido.
O programador, Kirill Parubets, foi preso sob a acusação de ter feito doações à Ucrânia. Após recuperar o acesso ao celular, Parubets suspeitou que o aparelho havia sido adulterado pelo governo russo, ao notar comportamentos incomuns e receber uma notificação com a mensagem: "Sincronização Arm cortex vx3."
Após encaminhar o dispositivo ao Citizen Lab para análise forense, investigadores confirmaram que um spyware havia sido instalado. Ele se passava por um aplicativo legítimo e popular chamado 'Cube Call Recorder,' que conta com mais de 10 milhões de downloads no Google Play.
No entanto, ao contrário do app original, o spyware tinha acesso a uma ampla gama de permissões, permitindo monitorar completamente o dispositivo e as atividades do usuário.
O Citizen Lab relatou que o malware é uma versão atualizada do Monokle, um spyware descoberto pela Lookout em 2019, desenvolvido pelo Special Technology Center, Ltd., com sede em São Petersburgo.
Comparação de permissões
Fonte: Citizen Lab
É possível também que o malware encontrado seja uma nova ferramenta que utiliza partes do código do Monokle como base.
"As muitas semelhanças significativas em operações, funcionalidades e motivações geopolíticas nos levam a concluir que este é ou uma versão atualizada do spyware Monokle ou um novo software criado com a reutilização de boa parte do mesmo código," explicou o Citizen Lab.
O spyware instalado pelo FSB no celular de Parubets utiliza um processo criptografado em duas etapas, espelhando a arquitetura do Monokle original, mas com avanços em criptografia e alterações nas permissões.
Funcionalidades do Spyware:
Rastrear localização do dispositivo mesmo em repouso
Acessar mensagens de texto, lista de contatos e compromissos no calendário
Gravar chamadas telefônicas, atividade de tela e vídeos usando a câmera
Extrair mensagens, arquivos e senhas
Executar comandos de shell e descriptografar dados
Realizar keylogging para capturar dados sensíveis e senhas
Acessar mensagens de aplicativos de mensagens
Instalar pacotes (APKs) e extrair senhas, incluindo a de desbloqueio do dispositivo
Exfiltrar arquivos do dispositivo
O Citizen Lab também relatou que o segundo estágio do spyware contém a maior parte de suas funcionalidades, incluindo arquivos criptografados com nomes aparentemente aleatórios para dificultar a detecção.
Além disso, os analistas encontraram referências a iOS no código do spyware, indicando a possibilidade de uma variante para dispositivos da Apple.
Mudanças notáveis em permissões desde a versão de 2019 incluem a adição de 'ACCESS_BACKGROUND_LOCATION' e 'INSTALL_PACKAGES,' e a remoção de 'USE_FINGERPRINT' e 'SET_WALLPAPER.'
Especialistas recomendam que pessoas cujos dispositivos tenham sido confiscados por autoridades e posteriormente devolvidos troquem de aparelho ou procurem ajuda especializada para análise.
Indivíduos em países opressivos devem considerar o uso de dispositivos descartáveis ('burner') quando houver risco de prisões arbitrárias, adotar mecanismos anti-spyware, como o modo Lockdown da Apple, e manter sistemas operacionais e aplicativos atualizados.
Via - BC
Comentarios