RCS: zaawansowany mobilny szpieg na usługach policji, jego serwery C&C działają też w Polsce
Zwykli cyberprzestępcy mogą tylko zazdrościć możliwościomorganów ścigania z całego świata, które zostały klientamiwłoskiej firmy Hacking Team. Jak informują badacze z firmyKaspersky Lab, siły policyjne z całego świata korzystają zestworzonego przez Hacking Team zaawansowanego narzędzia doszpiegowania obywateli o nazwie Remote Control System.
Policyjne malware jest oprogramowaniem niemal uniwersalnym.Rozprowadzane jest w Sieci najróżniejszymi metodami od sztuczek zespołeczną inżynierią po ataki typu spear-phishing. Zarażakomputery z Windows i OS-em X, wyczekując następnie na podłączenieurządzeń mobilnych. Po wykryciu podłączenia, uruchamia odpowiednimoduł infekujący, który pozwala na zarażenie sprzętudziałającego pod kontrolą Androida, Windows Mobile, Symbiana,BlackBerry OS-a, a nawet iOS-a (tylko urządzenia, które przeszłyjailbreak).
Skuteczne zainfekowanie urządzenia mobilnego (a skuteczne jestniemal zawsze, przed RCS-em nie chroni żadne oprogramowanieantywirusowe) pozwala napastnikom na przechwytywanie i nagrywaniepołączeń telefonicznych, odczytywanie SMS-ów ofiary, jej rozmówprzez aplikacje czatowe takie jak WhatsApp czy Skype, kopiowanieplików z urządzenia, sprawdzanie położenia, robienie zrzutówekranu i nagrywanie kamerą czy mikrofonem.
Wykrycie RCS jest bardzo trudne – malware nie tylko nie pokazujesię na liście procesów, ale też by ukryć swoją obecność,fałszuje dane o generowanym ruchu sieciowym i minimalizuje zużyciebaterii. Jego operatorzy wykorzystują anonimizujące zaporysieciowe, by ukryć swoją tożsamość, ale prace ekspertówKaspersky Lab pozwoliły w pewnym stopniu przeniknąć tę tajemnicę.
Udało się namierzyć w ten sposób 320 serwerów dowodzenia ikontroli, działających w ponad 40 krajach. Najwięcej w StanachZjednoczonych (64) i Kazachstanie (49) – ale w pierwszej dziesiątceznalazła się też Polska, z siedmioma serwerami C&C.
Siergiej Gołowanow, główny badacz Kaspersky Lab, podkreśla,że obecność serwerów dowodzenia i kontroli w danym kraju nie musioznaczać, że z Remote Control System korzystają jego służbypolicyjne, ale zarazem zauważa, że stosowanie takich serwerów wswoich granicach ma sens – zmniejsza ryzyko problemów prawnych czyewentualnej utraty serwera, wraz z pozyskanymi przez niego danymi.
Oficjalnie producent szkodnika podkreśla, że jegooprogramowanie, zdolne do złamania każdego mobilnego systemu ipozostania przy tym niewykrytym, jest wykorzystywane tylko dośledzenia kryminalistów. Współpracująca z Kaspersky Laborganizacja Citizen Watch nie do końca wto wierzy – jej zdaniem takie narzędzia, kiedyś dostępnetylko dla wojska i wywiadu nielicznych krajów, są dostępne terazniemal dla każdego państwa, pozwalając na obniżenie kosztówmonitorowania politycznych zagrożeń. Większość ofiar RCS towłaśnie polityczni aktywiści, obrońcy praw człowieka,dziennikarze i politycy – ale nie tylko. Wśród posiadaczyzainfekowanych urządzeń znaleziono też np. nauczyciela z WielkiejBrytanii.
Pozostaje mieć nadzieję, że oprogramowanie ochronne, nie tylkood Kaspersky Lab, w bliskiej przyszłości zabezpieczy użytkownikówprzed zagrożeniami ze strony policji i służb specjalnych ichpaństw. Gołowanow zauważa, że jeśli się to uda, to zabezpieczenie przez malware stosowanym przez cyberprzestępcówbędzie wówczas fraszką.