Команда компании Lookout Threat Lab обнаружила «программу-шпион», которая использовалась правительством Казахстана в апреле, через четыре месяца после трагических январских событий, сообщает Kazak24.Info со ссылкой на блог Lookout Threat Lab.

«На основании нашего анализа, шпионское ПО, которое мы назвали Hermit, вероятно, было разработано итальянским поставщиком шпионского ПО RCS Lab и Tykelab Srl, компанией по телекоммуникационным решениям, которая, как мы подозреваем, работает как подставная», - заявили исследователи в своем блоге.

Это не первый случай применения Hermit. Итальянские власти использовали его в антикоррупционной операции в 2019 году.

«Мы также нашли доказательства того, что неизвестный субъект использовал его в северо-восточной Сирии, преимущественно курдском регионе, который был местом многочисленных региональных конфликтов», - отметила команда.

Кто разработчики

RCS Lab, известный разработчик, действующий уже более трех десятилетий, работает на том же рынке, что и разработчик Pegasus, компания NSO Group Technologies и Gamma Group, создавшая FinFisher. RCS Lab сотрудничает с военными и разведывательными службами Пакистана, Чили, Монголии, Бангладеш, Вьетнама, Мьянмы и Туркменистана. Компании, объединенные под брендом «законного перехвата», утверждают, что продают программное обеспечение для наблюдения только тем клиентам, которые используют его на законных основаниях, например, разведывательным и правоохранительным органам.

«В действительности, такие инструменты часто используются под прикрытием национальной безопасности для шпионажа за руководителями предприятий, правозащитниками, журналистами, учеными и правительственными чиновниками», - предупреждают исследователи.

Что такое Hermit

Hermit — это модульная шпионская программа, которая скрывает свои вредоносные возможности в пакетах, загружаемых после ее запуска. Эти модули, а также разрешения, которыми обладают основные приложения, позволяют Hermit использовать рутированное устройство, записывать аудио, совершать и перенаправлять телефонные звонки, а также собирать такие данные, как журналы вызовов, контакты, фотографии, местоположение устройства и SMS-сообщения.

«Мы предполагаем, что шпионское ПО распространяется через SMS-сообщения, притворяясь, что они исходят от законного источника. Проанализированные образцы вредоносного ПО выдавали себя за приложения телекоммуникационных компаний или производителей смартфонов», - заявила команда Lookout.

Hermit обманывает пользователей, предлагая законные веб-страницы брендов, за которые он себя выдает, в то время как он запускает вредоносную деятельность в фоновом режиме. Исследователи заявили, что им также известно о существовании версии Hermit для iOS, но они не смогли получить образец для анализа.

Использование Hermit в Казахстане

«Наш анализ показывает, что Hermit не только был развернут в Казахстане, но и что за этой кампанией, скорее всего, стоит одно из подразделений правительства страны. Насколько нам известно, это первый случай идентификации текущего клиента мобильного вредоносного ПО RCS Lab. Впервые мы обнаружили образцы из этой кампании в апреле 2022 года. Они назывались oppo.service и выдавали себя за китайского производителя электроники Oppo. Веб-сайт, который вредоносная программа использовала для маскировки своей вредоносной активности, — это официальная страница поддержки Oppo (http://oppo-kz.custhelp[.]com) на казахском языке, которая с тех пор не работает. Мы также обнаружили образцы, выдающие себя за Samsung и Vivo. Страница поддержки Oppo на казахском языке загружается и отображается пользователям в то время, как вредоносная деятельность происходит в фоновом режиме», – сообщили исследователи в своем блоге.

Фото: lookout.com

Напомним, прошлым летом Центр по исследованию коррупции и организованной преступности (OCCRP) опубликовали заявление о том, что более чем 50 тысяч номеров журналистов и правозащитников в нескольких странах мира были взяты под наблюдение правительствами посредством внедрения в их мобильные устройства израильского шпионского ПО Pegasus.

Президент Казахстана Касым-Жомарт Токаев, бывший премьер-министр Аскар Мамин и экс-аким Алматы Бахытжан Сагинтаев названы в числе объектов слежки израильского шпионского программного обеспечения (ПО) Pegasus, который был разработан израильской киберкомпанией NSO Group. Шпионская программа способна читать текстовые сообщения, отслеживать звонки, собирать пароли, отслеживать местоположение, получать доступ к микрофону и камере устройства, а также собирать информацию из приложений.