หลังจากโปรแกรมเมอร์ชาวรัสเซียถูกควบคุมตัวโดย Federal Security Service (FSB) ของรัสเซียเป็นเวลา 15 วัน และโทรศัพท์ของเขาถูกยึดไป เมื่อโทรศัพท์ถูกส่งคืน พบว่าได้มีการติดตั้งสปายแวร์ตัวใหม่ลงในอุปกรณ์ของเขาอย่างลับ ๆ
โปรแกรมเมอร์ Kirill Parubets ถูกจับโดย FSB หลังจากถูกกล่าวหาว่าบริจาคเงินให้ยูเครน โดยหลังจากได้กลับมาเข้าถึงอุปกรณ์โทรศัพท์มือถือของเขาอีกครั้ง เขาสงสัยว่าโทรศัพท์ของเขาอาจถูกแทรกแซงโดยรัฐบาลรัสเซีย เนื่องจากโทรศัพท์แสดงพฤติกรรมผิดปกติ และมีการแจ้งเตือนว่า "Arm cortex vx3 synchronization"
หลังจากที่เขาได้แชร์โทรศัพท์ให้กับ Citizen Lab เพื่อทำการ forensic เจ้าหน้าที่สืบสวนยืนยันว่าได้มีการติดตั้งสปายแวร์บนอุปกรณ์ที่เลียนแบบแอปพลิเคชันบน Android ที่ชื่อ 'Cube Call Recorder' ซึ่งมีการดาวน์โหลดมากกว่า 10,000,000 ครั้งบน Google Play
ต่างจากแอปพลิเคชันที่ถูกลิขสิทธิ์ สปายแวร์ตัวนี้มีการเข้าถึงสิทธิ์ที่มากกว่า ซึ่งทำให้มันสามารถเข้าถึงอุปกรณ์ได้โดยไม่จำกัด และอนุญาตให้ผู้โจมตีสามารถติดตามกิจกรรมต่าง ๆ บนโทรศัพท์ได้
Citizen Lab รายงานว่า มัลแวร์ดังกล่าวดูเหมือนจะเป็นเวอร์ชันใหม่ของ Monokle ซึ่งถูกค้นพบครั้งแรกโดย Lookout ในปี 2019 และพัฒนาโดย Special Technology Center, Ltd. ที่ตั้งอยู่ในเซนต์ปีเตอร์สเบิร์ก
อาจเป็นไปได้ว่ามัลแวร์ตัวใหม่ที่พบในอุปกรณ์ของ Parubets อาจเป็นเครื่องมือใหม่ที่ใช้โค้ดบางส่วนจาก Monokle เป็นพื้นฐานในการพัฒนา
Citizen Lab อธิบายว่า "ความคล้ายคลึงกันในด้านการทำงาน, ฟังก์ชันการใช้งาน และแรงจูงใจทางภูมิรัฐศาสตร์ทำให้ประเมินได้ว่า เวอร์ชันนี้อาจเป็นเวอร์ชันที่อัปเดตของสปายแวร์ Monokle หรือซอฟต์แวร์ใหม่ที่ถูกสร้างขึ้นโดยการนำโค้ดส่วนใหญ่ของ Monokle มาใช้ใหม่"
สปายแวร์ตัวใหม่
สปายแวร์ที่ถูกติดตั้งโดย FSB ในโทรศัพท์ของโปรแกรมเมอร์ใช้กระบวนการเข้ารหัสแบบสองขั้นตอนที่แสดงให้เห็นถึงสถาปัตยกรรมของ Monokle แต่มีการพัฒนาในด้านการเข้ารหัส และมีการเปลี่ยนแปลงสิทธิ์การเข้าถึง
ความสามารถประกอบไปด้วย
- ติดตามตำแหน่งเมื่อโทรศัพท์อยู่ในสถานะไม่ได้ใช้งาน
- เข้าถึงเนื้อหา SMS, รายชื่อผู้ติดต่อ และข้อมูลในปฏิทิน
- บันทึกการโทร, กิจกรรมบนหน้าจอ และวิดีโอ (ผ่านกล้อง)
- ดึงข้อความ, ไฟล์ และรหัสผ่าน
- รันคำสั่ง shell และถอดรหัสข้อมูล
- ทำการ keylogging เพื่อ logs ข้อมูลที่สำคัญ และรหัสผ่าน
- เข้าถึงข้อความจากแอปพลิเคชันรับส่งข้อความ
- รันคำสั่ง shell และติดตั้งแพ็กเกจ (APKs)
- ดึงรหัสผ่านที่เก็บอยู่ในอุปกรณ์ และรหัสผ่านปลดล็อกอุปกรณ์
- ส่งข้อมูลไฟล์ออกจากอุปกรณ์
Citizen Lab ตั้งข้อสังเกตว่าขั้นตอนที่สองประกอบด้วยฟังก์ชันการทำงานส่วนใหญ่ของสปายแวร์ และยังมีไฟล์ที่ถูกเข้ารหัสพร้อมชื่อที่ดูเหมือนสุ่มเพื่อเพิ่มความซับซ้อนในการตรวจจับ
นักวิเคราะห์ยังรายงานว่า พบการอ้างอิงถึง iOS ในโค้ดของสปายแวร์ ซึ่งแสดงให้เห็นถึงความเป็นไปได้ของเวอร์ชันที่สามารถทำงานบนอุปกรณ์ Apple iPhone ได้
การเปลี่ยนแปลงการอนุญาตสิทธิ์ที่สำคัญตั้งแต่เวอร์ชัน 2019 (ที่มีการบันทึกไว้ครั้งสุดท้าย) ได้แก่ การเพิ่มสิทธิ์ 'ACCESS_BACKGROUND_LOCATION' และ 'INSTALL_PACKAGES' และการลบสิทธิ์ 'USE_FINGERPRINT' และ 'SET_WALLPAPER'
ดังนั้นผู้ที่ถูกยึดอุปกรณ์โดยหน่วยงานบังคับใช้กฎหมาย และได้รับคืนภายหลัง ควรเปลี่ยนไปใช้อุปกรณ์อื่น หรือส่งโทรศัพท์ให้ผู้เชี่ยวชาญทำการวิเคราะห์
ที่มา : bleepingcomputer
You must be logged in to post a comment.