Googleplay 中的政府级恶意软件

  • 谷歌商店里如何托管了政府级恶意软件?这是怎么回事?

Motherboard 已经了解到,为一家监控公司工作的黑客已经感染了数百人的设备,他们在官方 Google Play 商店中托管了多个恶意的 Android 应用程序。

过去,政府黑客和犯罪组织工作人员都曾经将恶意应用程序上传到了 Play 商店。这个新案例再次强调了谷歌过滤器的缺陷,旨在防止恶意软件进入 Play 商店,看起来它并没起作用。在这种情况下,谷歌在大约两年的时间里没有注意到超过20个恶意应用程序。

主板还了解到 Google Play 商店中出现了一种新的 Android 恶意软件,这种恶意软件由一家销售监控摄像头的公司生产,他们的产品提供给意大利政府,但直到现在才被发现。专家告诉主板,由于间谍软件似乎有缺陷且目标不明确,该行动可能使无辜的受害者陷入困境。法律和执法专家告诉 Motherboard,间谍软件可能是非法的。

间谍软件应用程序是由安全无国界组织的研究人员联合调查发现和研究的,这是一个非营利组织,经常调查对持不同政见者和人权维护者的威胁。

“我们发现以前未知的间谍软件应用程序在两年多的时间内多次成功上传到了 Google Play 商店。研究人员写道,这些应用程序将在 Play 商店中保留数月,并在被删除后会重新上传。

安全公司 ESET 的研究员 Lukas Stefanko 专门研究 Android 恶意软件,但没有参与安全无国界研究,他告诉 Motherboard,恶意软件继续超越 Google Play 商店的过滤器,这令人震惊,但并不奇怪。

“2018年甚至2019年的恶意软件已成功渗透到 Google Play 的安全机制中。一些改进是必要的,“Stefanko 说,“谷歌不是一家安全公司,也许他们应该更多地关注这一点。”

在明显试图欺骗目标安装这些间谍软件的过程中,这些恶意应用程序被设计成看起来像无害的,以接收当地意大利手机提供商的促销和营销提供。

今年早些时候,研究人员向谷歌提醒应用程序的存在,然后将其删除。谷歌告诉研究人员和主板,它在过去两年中总共发现了25种不同版本的间谍软件,可追溯到2016年。谷歌拒绝分享受害者的确切人数,但表示低于1,000人,并且所有受害者都在意大利。该公司不会提供有关目标的更多信息。

研究人员将应用程序所连接的命令和控制服务器的名称称为恶意软件 Exodus。熟悉该恶意软件开发的人向 Motherboard 确认这是它的内部名称。

Exodus 被编程为分两个阶段行动。在第一阶段,间谍软件自行安装并仅检查电话号码及其 IMEI(设备的唯一识别号码) — 可能是为了检查目标电话是否打算作为攻击目标。出于这个明显的目的,恶意软件具有一个名为“CheckValidTarget”的功能。

但事实上,根据研究人员的说法,该间谍软件似乎没有得到适当的检查。这很重要,因为目前有一些法律允许使用针对性较弱的恶意软件 — — 例如,通过法院命令,执法部门可以合法地攻击许多国家/地区的设备。

测试中研究人员发现,在运行检查后,恶意软件下载了一个 ZIP 文件来安装实际的恶意软件,这会侵入手机并从中窃取数据。

“这表明指挥与控制的运营商没有对目标进行适当的验证,”安全无国界组织在报告中总结道。 “此外,在几天的时间里,受感染的测试设备从未被运营商远程消毒过。”

此时,恶意软件可以访问受感染手机上的大多数敏感数据,例如手机周围的录音、电话、浏览历史记录、日历信息、地理定位、Facebook Messenger 日志、WhatsApp 聊天和短信,据研究人员称,其他数据也包括在内

间谍软件还会在设备上打开一个端口和一个 shell,这意味着它允许操作员向受感染的手机发送命令。根据研究人员的说法,这个 shell 没有被编程为使用加密,并且该端口对与目标相同的 Wi-Fi 网络上的任何人开放。据研究人员称,这意味着附近的任何人都可以攻击受感染的设备。

由位于纽约的网络安全公司 Trail of Bits 进行的第二次独立分析,调查了主板揭示的恶意软件,确认恶意软件样本都连接到了一家公司的服务器,安全无国界组织识别的IP地址都是有联系的,并且恶意软件使目标设备更容易受到黑客攻击。

安全无国界组织在其调查中收集的所有证据表明,该恶意软件是由位于卡拉布里亚地区南部城市卡坦扎罗的意大利公司 eSurv 开发的。

关于恶意软件的作者来自意大利的第一个提示是两个字符串:“mundizza”和“RINO GATTUSO。”Mundizza 是卡拉布里亚南部地区的一个方言词,粗略的翻译是垃圾。 Rino Gattuso 是卡拉布里亚著名退役意大利足球运动员的名字。

然而,真正的实证是在 Play 商店中找到的几个应用程序中使用的命令和控制服务器,用于将数据发送回恶意软件操作员。

据研究人员称,该服务器与其他属于 eSurv 监控摄像头的服务器共享 TLS 网络加密证书,这是该公司的主要公共业务。此外,研究人员确定的这些服务器中的一些显示 eSurv 的徽标作为与服务器地址相关联的图标,您可以在浏览器的选项卡中看到该图标,也称为 favicon。

据研究人员称,其他间谍软件样本与属于 eSurv 的服务器进行通信。谷歌也证实这些服务器属于 eSurv。审查技术报告的 Bit of Bits 研究员同样证实,它与 eSurv 有关。

最后,eSurv 员工通过他的 LinkedIn 页面公开发布的简历中解释说,作为他在公司工作的一部分,他开发了“一个’代理’应用程序,用于从 Android 设备收集数据并将其发送到C&C服务器” — — 这就是 Android 间谍软件技术。

主板与开发人员联系,但开发人员拒绝发表评论,认为答案是“机密信息”。

主板通过电子邮件多次联系 eSurv。她说,最初,该公司的一名员工声称对主板的调查结果感到震惊,因为 eSurv 只出售视频监控。在主板打电话几个小时后,该公司开始将其网站停用了几个星期。主板要求跟进后该公司拒绝发表评论。

尽管安全无国界组织无法确认恶意应用是否是为政府客户开发的,但 eSurv 似乎与意大利执法机构保持着持续的关系。

根据意大利政府支出透明度法案在线发布的一份文件,eSurv 赢得了意大利政府国家警察招标,以发展“被动和主动拦截系统”。该文件显示,eSurv 于2017年11月6日收到 307,439.90 欧元的付款。

主板提交了信息自由请求,以获取有关招标、参与公司名单、公司发送的技术报价、以及 eSurv 发出的发票的信息。但是,这一请求遭到拒绝。反对该请求的州警察机构反毒品警察局表示,由于监控系统是通过“特殊安全措施”获得的,因此无法回复这些文件。

在过去的几个月里,一些了解意大利间谍软件市场的消息人士告诉 Motherboard,卡拉布里亚的一家新公司正在与执法部门和政府机构签订合同,专门开发监控软件。其中一些消息来源特别指出 eSurv 是一家风靡当地市场的新公司。

最后,一位接近 eSurv 的消息人士表示,该公司向意大利警方出售恶意软件,后者要求保持匿名,因为他无权向新闻界发表讲话。“他们在 Play 商店发布[间谍软件],然后诱使目标人下载并打开它,”消息人士在网上聊天时说。

一般来说,在欧洲大多数国家以及美国,使用带有权证或法官授权的间谍软件是合法的。专家告诉 Motherboard,但在这种情况下,eSurv 的间谍软件可能无法依法运作。

“我不认为有理由相信这种间谍软件是合法的,”专门从事刑法和监视的意大利律师 Giuseppe Vaciago 在审查了无国界安全组织的报告后告诉主板。

Vaciago 解释说,根据意大利法律间谍软件不应该在没有首先证实目标是合法的情况下安装在任何目标上,而 Exodus 不能正确做到这一点。

此外,Vaciago 解释说,意大利法律有效地将间谍软件与物理监视设备等同,例如旧式隐藏式麦克风和摄像头,限制其用于捕获音频和视频。

“另一方面,该软件能够做到并且有效地完成了比法律规定的更具侵入性的活动,”Vaciago 在一封电子邮件中告诉 Motherboard。

据一位在调查期间使用间谍软件的警察说,恶意软件使设备容易受到其他黑客攻击的事实可能是 Exodus 中最糟糕的因素,并且他要求保持匿名,因为他不被允许向媒体发表讲话。

“从法律监督的角度来看,这简直是疯了,即使在确定非法之前,开放安全漏洞并将其留给任何人都是疯狂的而毫无意义的。”

2017年底,意大利引入了一项法律,规范间谍软件在执法活动和调查中的使用 — — 法律仅规定禁止使用间谍软件远程录制音频,而忽略了监视软件可能具有的所有其他功能,例如拦截短信或截取屏幕截图。2018年5月,司法部公布了执法机构在开发和使用间谍软件时必须遵守的技术要求。

在意大利数据保护局去年4月发表的意见中,当局批评了描述拦截系统组件时过于模糊的要求,并强调当局需要确保将间谍软件安装在目标上不会降低受感染设备的整体安全性。

“这是为了防止设备受到第三方的侵害,避免对其中包含的个人数据以及调查活动的保护产生负面影响,”当局写道。事实上,政府可以强迫意大利电信公司发送短信,以便在嫌疑人的设备上注入恶意软件。

在2017年3月由议会安全委员会(COPASIR)举行的意大利手机供应商 Wind Tre Spa 的公司安全治理听证会上发现了这项活动的详情。这是一个监督情报部门活动的委员会。

根据总结听证会的文件,这些操作“主要包括扩展带宽和发送消息以请求某些维护活动”,该文件写道。这些活动可能包括在电信运营商所谓的“强制性司法服务”中,司法部在具体价格表中详细列出了这些服务:从窃听的15欧元到“协助和可行性研究”的110欧元不等。

在出版时,意大利国家警察没有回应多次要求对招标技术发表评论的请求,也没有回答有关使用这种间谍软件的问题。对两个意大利检察官办公室的问题也没有得到答复。

接近 eSurv 的消息人士证实,有时,应用程序最终出现在了非目标人的手机上,因为“不经意的、在不知情的情况下下载了该应用程序并感染了自己。” 然而,该公司没有做任何事情来阻止这种情况的发生,而是将受害者当作“豚鼠”。

Researchers Find Google Play Store Apps Were Actually Government Malware. Security researchers have found a new kind of government malware that was hiding in plain sight within apps on Android’s Play Store. And they appear to have uncovered a case of lawful intercept gone wrong.

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据