Специалисты из Check Point Technologies, компании, работающей в сфере IT-безопасности, обнаружили, что хакеры, которые, по мнению исследователей, связаны с правительством Египта, использовали официальный магазин Google Play Store для распространения шпионских программ в рамках кампании, направленной против журналистов, юристов и оппозиционных политиков в этой стране.
Приложение под названием IndexY представляло собой средство для поиска телефонных номеров. Как утверждают авторы исследования, база приложения содержала данные более 160 миллионов номеров. Одним из необходимых требований для установки было предоставление доступа к истории вызовов и контактам пользователя. Приложение насчитывало около 5 тысяч установок.
Как сообщает издание ArsTechnica, приложение IndexY было удалено из Google Play после того, как исследователи Check Point обнаружили, что программа используется в интересах правительства в рамках кампании по шпионажу за египетскими гражданами. В Check Point не уточнили, когда IndexY впервые появилось в Google Play.
IndexY, по сообщению ArsTechnica, тайно регистрировало каждый звонок и помечало его как входящий, исходящий или пропущенный, а также дату и продолжительность звонка. Публично доступные файлы, оставленные на домене приложения, показали не только сам факт сбора данных, но и то, что разработчики активно анализировали и проверяли собранную информацию. Анализ включал количество пользователей приложения в каждой стране, данные журнала вызовов и списки звонков, совершенных из одной страны в другую.
IndexY, по информации, обнаруженной Check Point Technologies, был частью обширной и масштабной кампании по надзору за гражданами Египта, которая была впервые задокументирована международной неправительственной организацией по защите прав человека Amnesty International в марте. Кампания была нацелена на людей, которые играли роль оппозиции в правительстве Египта.
Создатели приложения «смогли обойти защиту Google, — заявил Арс Лотем Финкельштейн, один из сотрудников Check Point. — Попадание в Google Play — это то, что дает подобной инфраструктуре доверие».
Финкельштейн сказал, что приложение смогло избежать проверки Google благодаря тому, что анализ данных выполнялся на стороннем сервере, а не на самом заражённом телефоне, поэтому Google не мог видеть собранную информацию.
Вредоносные приложения в Google Play стали одной из самых неприятных проблем нарушения безопасности для операционной системы Android. Приложения, иногда заражающие сотни миллионов устройств, сегодня стали обычным явлением. По словам исследователя по информационной безопасности Лукаса Стефанко, в прошлом месяце в Google Play было установлено около 336 миллионов нежелательных приложений, хотя большинство этих приложений оказались рекламными, а не вредоносными программами.
IndexY было одним из трех вредоносных приложений, разработанных для Android, которые Check Point привязала к кампании по шпионажу за гражданами Египта. Другое приложение под названием iLoud 200% предназначалось для увеличения громкости устройств. Оно собирало данные о местоположении смартфона сразу же, как только было запущено. Сообщение о ещё одном приложении под названием v1.apk было направлено в службу обнаружения вредоносных программ Google VirusTotal в феврале.
Как ранее сообщало Amnesty International, в шпионской кампании также использовались сторонние приложения, которые подключались к учетным записям Gmail и Outlook с использованием стандарта OAuth. Такие приложения могли перехватывать сообщения даже тогда, когда учетные записи были защищены двухфакторной аутентификацией. Сторонние приложения распространялись по ссылкам, отправленным в виде фишинговых спам-сообщений.
