Купон на скидку: 2026
В четверг итальянская организация по защите цифровых прав Osservatorio Nessuno, занимающаяся исследованием шпионских программ, опубликовала отчет о новом вредоносном ПО под названием Morpheus. Эта шпионская программа, маскирующаяся под приложение для обновления телефона, способна похищать широкий спектр данных с устройства жертвы. Исследования показали, что спрос на шпионские программы со стороны правоохранительных органов и разведывательных агентств настолько высок, что существует множество компаний, предоставляющих такие технологии, некоторые из которых работают вне поля зрения общественности. В данном случае Osservatorio Nessuno пришла к выводу, что шпионская программа связана с итальянской компанией IPS, которая более 30 лет занимается предоставлением традиционных технологий так называемого законного перехвата, используемых правительствами для захвата в реальном времени коммуникаций, проходящих через сети телефонных и интернет-провайдеров. Согласно сайту IPS, компания работает более чем в 20 странах, хотя это, вероятно, не относится к ее шпионскому продукту, который до сегодняшнего дня оставался в секрете. Среди клиентов компании числятся несколько итальянских полицейских сил. IPS не ответила на запрос TechCrunch о комментарии по поводу отчета.
Исследователи назвали Morpheus "дешевой" шпионской программой, поскольку она использует примитивный механизм заражения, обманывая жертв, чтобы они сами устанавливали шпионское ПО. Более продвинутые производители шпионских программ для правительств, такие как NSO Group и Paragon Solutions, позволяют своим клиентам заражать цели с помощью невидимых методов, известных как атаки без кликов, которые устанавливают вредоносное ПО совершенно незаметно, используя дорогие и труднодоступные уязвимости, которые пробивают защиту устройства. В этом случае, по словам исследователей, властям помогал сотовый оператор цели, который начал намеренно блокировать мобильные данные цели. В этот момент телекоммуникационный провайдер отправил жертве SMS с предложением установить приложение, которое якобы поможет обновить телефон и восстановить доступ к мобильным данным. Эта стратегия хорошо задокументирована в других случаях с участием итальянских производителей шпионских программ.
После установки шпионская программа злоупотребляла встроенными функциями доступности Android, что позволяло ей читать данные на экране жертвы и взаимодействовать с другими приложениями. Вредоносное ПО было разработано для доступа ко всем видам информации на устройстве, как утверждают исследователи. Затем шпионская программа инициировала ложное обновление, показывала экран перезагрузки и, наконец, подделывала приложение WhatsApp, прося жертву предоставить свои биометрические данные для подтверждения личности. Жертва не знала, что биометрическое подтверждение предоставило шпионской программе полный доступ к их аккаунту WhatsApp, добавив устройство к аккаунту. Это известная стратегия, используемая правительственными хакерами в Украине, а также в недавней шпионской кампании в Италии.
Исследователи Osservatorio Nessuno, которые попросили называть их только по именам Давиде и Джулио, пришли к выводу, что шпионская программа принадлежит IPS на основе инфраструктуры шпионского ПО. В частности, один из IP-адресов, использованных в кампании, был зарегистрирован на "IPS Intelligence Public Security". Они также обнаружили несколько фрагментов кода, содержащих итальянские фразы, что, по-видимому, стало традицией среди итальянской индустрии шпионских программ. Код вредоносного ПО содержал слова на итальянском, включая ссылки на "Гоморру", известную книгу и телешоу о неаполитанской мафии, и "спагетти". Давиде и Джулио сообщили TechCrunch, что не могут предоставить подробности о том, кто был целью, но считают, что атака "связана с политическим активизмом" в Италии, где "такого рода целевые атаки очень распространены в наши дни". Исследователь из компании по кибербезопасности сообщил TechCrunch, что их компания отслеживает это конкретное вредоносное ПО. После изучения отчета Osservatorio Nessuno, исследователь заявил, что вредоносное ПО определенно разработано итальянским производителем технологий наблюдения. IPS является последней в длинном списке итальянских производителей шпионских программ, которые заполнили пустоту, оставленную давно несуществующей итальянской компанией Hacking Team, одной из первых в мире производителей шпионских программ. Компания контролировала значительную долю местного рынка, кроме продаж за границу, до того как была взломана, а затем продана и переименована. В последние годы исследователи публично разоблачили несколько итальянских производителей шпионских программ, включая CY4GATE, eSurv, GR Sistemi, Movia, Negg, Raxir, RCS Lab и недавно SIO. В начале этого месяца WhatsApp уведомил около 200 пользователей, которые установили поддельную версию приложения, которая на самом деле была шпионским ПО, созданным SIO. В 2021 году итальянские прокуроры приостановили использование шпионских программ CY4GATE и SIO из-за серьезных неисправностей.