В Гонконге за протестующими следят с помощью троянцев

С начала активных протестов в Гонконге уже две компании, занимающиеся информбезопасностью, заявили об обнаружении мобильных программ-троянцев, которые передают с зараженных смартфонов на удаленный сервер персональные данные владельца, SMS, переписку, записанные в памяти телефона файлы, а также могут активировать диктофон и передавать аудио в режиме реального времени.

Сначала подобный вирус нашли израильские IT-специалисты, а в пятницу 3 октября подробности об этом «шпионе» сообщили и российские антивирусные эксперты из компании «Доктор Веб».

Напомним, в конце сентября протестующие, выступающие за демократизацию выборов в Гонконге, начали акцию Occupy Central, блокируя бизнес-центр Гонконга. Они попытались прорваться в правительственный комплекс, десятки человек были задержаны, несколько получили легкие травмы. Власти и активисты обвиняли друг друга в нарушении порядка и чрезмерном применении силы. На этой неделе протестный накал несколько спал. Представители протестующих в ночь на вторник 7 октября заключили соглашение с правительством Гонконга о переговорах, сообщает агентство Франс Пресс. Однако порядка 300 человек, принимавших участие в акциях, остаются на улицах.

Участники протестов в Гонконге для организации своих акций активно пользуются Интернетом, мессенджерами, соцсетями и специальными приложениями. В Twitter у движения есть хэштэги #UmbrellaRevolution и #OccupyCentral, а также аккаунт @OCLPHK. Ранее фотосервис Instagram, с помощью которого активисты делились фотографиями с протестов, уже был заблокирован властями Китая, об этом писал D-Russia.ru.

Помимо этого, в Гонконге активно используется приложение FireChat. Оно позволяет людям общаться между собой даже там, где не работает сотовая связь. Мессенджер устанавливает прямое соединение между двумя телефонами на расстоянии до 70 метров.

В начале октября израильская компания Lacoon Mobile Security сообщила, что власти Китая разработали приложение для слежки за протестующими, писала The New York Times.

Участники протестов получали анонимные сообщения в мессенджере WhatsApp, предлагающие скачать и установить приложение, предназначенное «для общения и координации действий». Приложение «маскировалось» тем, что оно якобы было разработано программистами из группы CodeH4K, дружественной протестующим. На самом же деле это был троян Xsser mRAT. После установки он получал доступ ко всем данным, содержащимся на смартфоне пользователя. Вирус был обнаружен и для Android, и для iOS.

Специалисты из Lacoon Mobile Security говорили, что точно установить происхождение вредоносного приложения невозможно, однако их данные указывали на то, что оно было создано при участии правительства Китая.

Российские эксперты на минувшей неделе также отчитались о «протестном» трояне, представив новые подробности.

Данные схожи с теми, что получены до этого израильскими специалистами. По сообщению «Доктор Веб», обнаруженная угроза, получившая наименование Android.SpyHK.1.origin, распространялась именно среди протестующих жителей Гонконга. Троянец, опять же, устанавливался на мобильные устройства активистов под видом приложения для координации их действий, поэтому не должен был вызвать особых подозрений у большинства своих жертв.

android-SpyHK

После своего запуска программа-шпион устанавливает соединение с управляющим сервером, куда загружает общую информацию о зараженном устройстве — версию операционной системы, номер телефона, IMEI-идентификатор, аппаратные характеристики и т. п., и ожидает дальнейших указаний злоумышленников, сообщили в «Доктор Веб». В зависимости от поступившей команды, троянец может выполнить следующие действия:

  • получить содержимое заданной директории (имена, размеры, даты последних изменений файлов и папок);
  • получить GPS-координаты устройства;
  • сделать запись в лог-файле;
  • отобразить на экране сообщение с заданным текстом;
  • выполнить звонок на заданный номер;
  • получить информацию об устройстве;
  • исполнить заданный shell-скрипт;
  • получить расширенный список контактов (включая имя, номер, а также email-адрес);
  • получить доступ к SMS-переписке;
  • получить историю звонков;
  • добавить определенные номера телефонов в список прослушиваемых;
  • получить текущий список прослушиваемых номеров;
  • загрузить файл с заданного веб-адреса;
  • удалить заданный файл с устройства;
  • загрузить заданный файл на управляющий сервер;
  • активировать диктофонную запись через определенное время;
  • активировать диктофонную запись с одновременной ее передачей на сокет управляющего сервера;
  • остановить диктофонную запись;
  • загрузить на управляющий сервер локальные базы встроенного почтового клиента;
  • получить историю веб-бразуера;
  • отправить на управляющий сервер информацию о хранящихся на карте памяти файлах и каталогах;
  • выполнить сразу несколько команд по сбору конфиденциальной информации и отправить ее на сервер.

Специалисты особо отметили такие свойства программы-шпиона, как определение GPS-координат зараженных устройств, даже если владелец запретил использование функции GPS. Вторая особенность, обратившая на себя внимание, передача диктофонной записи таким образом, что прослушивание можно выполнять в реальном времени. «Такое интересное техническое решение дает альтернативу прослушиванию при помощи скрытого телефонного звонка: в то время, когда передача данных по каналам сотовых сетей может быть заблокирована правоохранительными органами, вероятность доступных и активных Wi-Fi-сетей остается весьма высокой, поэтому у злоумышленников имеется определенный шанс получить необходимую им информацию», — отмечают в «Доктор Веб».

«Все это позволяет говорить о проведении хорошо спланированной таргетированной атаки, направленной на получение важной информации о бастующих в настоящее время жителях Гонконга, а также их возможных действиях в будущем. Нельзя исключать применения этой или аналогичных вредоносных программ и в других регионах мира, поэтому владельцы мобильных устройств должны проявлять осторожность и не устанавливать на свои мобильные устройства подозрительные приложения», — резюмируют в компании.

Как сообщал D-Russia.ru, на прошлой неделе хакерская группа Anonymous объявила войну правительству Гонконга и взломала ряд локальных сайтов в знак протеста против методов полицейских, разгонявших Occupy Central.

Группа пообещала взломать больше сайтов, а также раскрыть персональную информацию, хранящуюся на них.