Badacze bezpieczeństwa ujawnili kolejną kampanię z wykorzystaniem oprogramowania szpiegowskiego. Tym razem chodzi o malware Morpheus, które miało być dystrybuowane poprzez fałszywe aplikacje na Androida udające narzędzie do aktualizacji systemu. Według ustaleń włoskiej organizacji Osservatorio Nessuno, spyware potrafi przejmować szeroki zakres danych z urządzenia ofiary. Dodatkowo jego użycie wiąże się z rosnącym rynkiem narzędzi inwigilacyjnych wykorzystywanych przez instytucje państwowe. W sprawę zamieszana ma być firma IPS, znana z dostarczania technologii tzw. legalnego podsłuchu. Badacze podkreślają jednocześnie, że atak bazuje na nakłonieniu użytkownika do samodzielnej instalacji aplikacji.
Fałszywe aktualizacje Androida jako nowa metoda infekcji – tak działa Morpheus
Według ustaleń badaczy z Osservatorio Nessuno, nowo wykryte oprogramowanie szpiegowskie o nazwie Morpheus rozprzestrzenia się w nietypowy sposób. Wykorzystuje bowiem zaufanie użytkowników do pozornie legalnych komunikatów systemowych. Malware kryje się w aplikacji podszywającej się pod narzędzie do aktualizacji telefonu. To sprawia, że ofiara sama instaluje złośliwe oprogramowanie. Ten model działania znacząco obniża potrzebę stosowania zaawansowanych technik włamań, w tym luk zero-click. Cały proces opiera się w tym przypadku na manipulacji użytkownikiem.
Badacze podkreślają, że tego typu podejście określane jest jako „low cost spyware”, bo nie wymaga drogich exploitów ani zaawansowanych podatności, a jedynie skutecznych działań socjotechnicznych. W praktyce oznacza to, że atak może rozpocząć się od zwykłej wiadomości SMS, która sugeruje konieczność instalacji aplikacji w celu przywrócenia funkcjonalności telefonu. Po uruchomieniu fałszywej aktualizacji użytkownik nieświadomie oddaje kontrolę nad urządzeniem, co otwiera drogę do dalszej inwigilacji i kradzieży danych.
IPS i włoski ślad – rosnący rynek „legalnej inwigilacji”
Śledztwo Osservatorio Nessuno wskazuje, że za kampanią Morpheus może stać włoska firma IPS. Działa ona w branży technologii tzw. lawful interception, czyli narzędzi umożliwiających legalne przechwytywanie komunikacji na zlecenie instytucji państwowych. Firma ta istnieje od ponad trzech dekad i według dostępnych informacji współpracuje z organami ścigania w wielu krajach. Badacze zwracają uwagę, że IPS ma doświadczenie w dostarczaniu systemów umożliwiających monitorowanie ruchu telekomunikacyjnego. Jednak w przypadku Morpheus mamy do czynienia z bardziej agresywną formą działania. Oprogramowanie trafia bowiem bezpośrednio na urządzenia użytkowników końcowych.
Analiza infrastruktury technicznej oraz fragmentów kodu zawierających włoskie odniesienia doprowadziła badaczy do powiązania malware z tą właśnie firmą. Jedna sam IPS nie odniósł się jeszcze do zarzutów. W tle pojawia się szerszy problem rosnącej liczby podmiotów zajmujących się tworzeniem narzędzi inwigilacyjnych, szczególnie we Włoszech, gdzie w przeszłości ujawniano już działalność wielu podobnych firm. W raportach wskazuje się, że rynek ten rozwija się równolegle z zapotrzebowaniem służb państwowych, co prowadzi do sytuacji, w której granica między narzędziami „legalnego podsłuchu” a klasycznym spyware staje się coraz bardziej rozmyta.
Źródło: TechCrunch / Zdjęcie otwierające: Unsplash (@cbpsc1)