Nhà sản xuất spyware IPS bị phát hiện dùng ứng dụng Android giả để cài đặt phần mềm theo dõi

Một nhà sản xuất phần mềm gián điệp của chính phủ khác vừa bị bắt quả tang sau khi khách hàng của họ sử dụng các ứng dụng Android giả mạo để cài đặt phần mềm giám sát lên thiết bị mục tiêu, theo một báo cáo mới.

Vào thứ Năm, Osservatorio Nessuno, một tổ chức quyền kỹ thuật số của Ý chuyên nghiên cứu về spyware, đã công bố báo cáo về một phần mềm độc hại mới mà họ đặt tên là Morpheus. Phần mềm gián điệp này ngụy trang dưới dạng một ứng dụng cập nhật điện thoại, có khả năng đánh cắp một loạt dữ liệu rộng rãi từ thiết bị của nạn nhân.

Các phát hiện của các nhà nghiên cứu cho thấy nhu cầu về spyware từ các cơ quan thực thi pháp luật và tình báo là rất lớn, dẫn đến việc có rất nhiều công ty cung cấp công nghệ này, trong đó một số hoạt động bên ngoài ánh sáng dư luận.

IPS và công nghệ giám sát mới

Trong trường hợp này, Osservatorio Nessuno kết luận rằng phần mềm gián điệp này có liên quan đến IPS, một công ty Ý đã hoạt động hơn 30 năm cung cấp công nghệ được gọi là "chặn bắt hợp pháp" (lawful interception) truyền thống. Đây là các công cụ được chính phủ sử dụng để thu thập thông tin liên lạc thời gian thực của một người thông qua mạng của các nhà cung cấp dịch vụ điện thoại và internet.

Theo trang web của IPS, công ty hoạt động tại hơn 20 quốc gia, mặc dù điều đó có thể không đề cập đến sản phẩm spyware của họ, thứ cho đến nay vẫn là bí mật. Công ty liệt kê một số lực lượng cảnh sát Ý trong số khách hàng của mình. IPS đã không phản hồi yêu cầu bình luận về báo cáo từ TechCrunch.

Các nhà nghiên cứu gọi Morpheus là phần mềm gián điệp "chi phí thấp" vì nó dựa vào cơ chế lây nhiễm sơ khai là lừa mục tiêu tự cài đặt phần mềm gián điệp lên thiết bị của họ.

Các nhà sản xuất spyware chính phủ tiên tiến hơn, chẳng hạn như NSO Group và Paragon Solutions, cho phép khách hàng chính phủ của họ lây nhiễm cho mục tiêu bằng các kỹ thuật vô hình, được gọi là tấn công không cần tương tác (zero-click attacks). Các kỹ thuật này cài đặt phần mềm độc hại một cách hoàn toàn lén lút bằng cách khai thác các lỗ hổng bảo mật đắt đỏ và khó tìm để phá vỡ hệ thống phòng vệ của thiết bị.

Cơ chế tấn công và lừa đảo

Trong trường hợp này, các nhà nghiên cứu cho biết chính quyền đã nhận được sự hỗ trợ từ nhà cung cấp dịch vụ di động của mục tiêu. Nhà mạng này đã cố tình chặn dữ liệu di động của mục tiêu. Tại thời điểm đó, nhà cung cấp viễn thông đã gửi cho mục tiêu một tin nhắn SMS, nhắc họ cài đặt một ứng dụng được cho là giúp họ cập nhật điện thoại và lấy lại quyền truy cập dữ liệu di động. Đây là một chiến thuật đã được ghi nhận kỹ lưỡng trong các trường hợp khác liên quan đến các nhà sản xuất spyware Ý.

Mô phỏng quá trình spyware giả mạo WhatsApp

Sau khi spyware được cài đặt, nó lạm dụng các tính năng hỗ trợ tiếp cận (accessibility features) có sẵn của Android. Điều này cho phép spyware đọc dữ liệu trên màn hình của nạn nhân và tương tác với các ứng dụng khác. Phần mềm độc hại được thiết kế để truy cập mọi loại thông tin trên thiết bị.

Sau đó, spyware sẽ hiển thị một bản cập nhật giả, hiển thị cho mục tiêu màn hình khởi động lại (reboot), và cuối cùng giả mạo ứng dụng WhatsApp, yêu cầu mục tiêu cung cấp sinh trắc học để chứng minh đó là họ. Mà không hay biết, thao tác chạm sinh trắc học đó đã cấp cho spyware quyền truy cập hoàn toàn vào tài khoản WhatsApp của họ bằng cách thêm thiết bị vào tài khoản. Đây là một chiến thuật đã được biết đến được các tin tặc chính phủ sử dụng ở Ukraine, cũng như trong một chiến dịch gián điệp gần đây tại Ý.

Bằng chứng và bối cảnh ngành công nghiệp

Các nhà nghiên cứu của Osservatorio Nessuno, những người yêu cầu chỉ được gọi bằng tên đầu là Davide và Giulio, đã kết luận rằng spyware này thuộc về IPS dựa trên cơ sở hạ tầng của phần mềm gián điệp.

Đặc biệt, một trong các địa chỉ IP được sử dụng trong chiến dịch này được đăng ký cho "IPS Intelligence Public Security".

Hai người này cũng tìm thấy một số đoạn mã chứa các cụm từ tiếng Ý — điều dường như đã trở thành truyền thống trong ngành công nghiệp spyware Ý. Mã phần mềm độc hại bao gồm các từ tiếng Ý, bao gồm các tham chiếu đến Gomorra, cuốn sách và chương trình truyền hình nổi tiếng về mafia Napoli, và "spaghetti".

Davide và Giulio cho biết họ không thể cung cấp chi tiết cụ thể về mục tiêu là ai, nhưng họ tin rằng cuộc tấn công này "liên quan đến hoạt động chính trị" tại Ý, một thế giới nơi "loại tấn công có mục tiêu này rất phổ biến hiện nay".

IPS là cái tên mới nhất trong danh sách dài các nhà sản xuất spyware Ý đã lấp đầy khoảng trống để lại bởi công ty Ý Hacking Team đã phá sản lâu đời. Công ty này từng kiểm soát một thị phần lớn tại địa phương bên cạnh việc bán ra nước ngoài trước khi bị tấn công mạng, và sau đó được bán và đổi thương hiệu. Trong những năm gần đây, các nhà nghiên cứu đã công khai phơi bày một số nhà sản xuất spyware Ý, bao gồm CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab, và gần đây nhất là SIO.

Vào đầu tháng này, WhatsApp đã thông báo cho khoảng 200 người dùng đã cài đặt phiên bản giả của ứng dụng, thực chất là spyware do SIO tạo ra. Vào năm 2021, công tố viên Ý đã đình chỉ việc sử dụng spyware của CY4GATE và SIO do các trục trặc nghiêm trọng.