Обновена на 20.08.2020 от Questo
Зад термина „шпионски софтуер“ се крият няколко категории зловреден код. Общото между тях е, че се използват за следене активността на потребителите.
В тази статия ще дам пример за стоукъруер (stalkerware), който се разработва от българска фирма. Но първо нека разгледаме какво всъщност е стоукъруер.
Този зловреден софтуер се инсталира незабелязано на смартфона и следи всички обаждания, SMS-и, чатове, използвани приложения и т.н. Обикновено стоукъруер се използва от ревнивци, които искат да следят половинките си. Или пък от родители, които искат да знаят какво правят децата им в интернет.
Стокъруер може да се използва и от частни детективи, за да получат достъп до комуникацита на човека, когото следят.
Според Kaspersky случаите на засечен стоукъруер в световен мащаб са нараснали с 67% само през 2019 г. Вероятно растящата популярност на този софтуер се дължи на факта, че с него се работи сравнително лесно. Необходими са няколко минути физически достъп до устройството, което ще се следи. След това активността на смартфона се следи от разстояние.
Самият софтуер е много достъпен: може да се купи за няколко десетки долара, а има и безплатни продукти.
Заплахата от шпионски софтуер през 2020
Ето какво показват последните данни на Kasperky за пазара на стоукъруер:
- 67 хил. смартфона са били заразени със стоукъруер само през 2019 г.
- Над 518 хил. успешни и неуспешни опита за инсталиране на стоукъруер са засечени между януари и август 2019
- Най-много инсталации са засечени през декември: над 11 хил.
- Над 23% от всикчи случаи на стоукъруер са засечени в Русия, което я прави световен лидер в това отношение
- В Германия са засечени над 3% от случаите: най-много от всички страни в ЕС
Над половин милион опита за инсталиране на шпионски софтуер за телефон са засечени само за 8 месеца! И това е според данните само на един доставчик на решения за киберсигурност. Реалните числа вероятно са по-големи.
Шпионски софтуер: цена, функции, рискове
За целите на статията ще разгледаме Android Monitor, един от многото примери за стоукъруер, които се продават в интернет.
Android Monitor може да се купи за 37.2 долара годишно. Според описанието на сайта той дава възможност да се следят:
- съобщения, които потребителят въвежда с клавиатурата на смартфона
- телефонни обаждания, SMS, чат и имейл комуникация
- местоположението на устройството
- снимките и други файлове на смартфона
Zscaler определя Android Monitor като типичен шпионски софтуер за Android. След инсталацията той започва да събира информация за обажданията, файловете, локацията на смартфона, какво се въвежда на клавиатурата и т.н. Данните се изпращат по имейл. Има и уеб базиран администраторски панел, от който може да се следи какво се случва с подслушваното устройство.
Кой го продава
Колко пари могат да се изкарат от продажбата на шпионски софтуер? Нека да видим какво показват фирмените регистри.
В сайта на Android Monitor се посочва, че собственик на софтуера е IT9 EOOD. Според Търговския регистър фирма с такова име е регистрирана в Хасково. Основната й дейност е внос и износ на продукти в областта на информационните технологии и разработка на информационни системи и софтуер.
За 2019 г. компанията е декларирала приходи от 157 хил. лв. Печалбата (доходът, който остава, след като от приходите се извадят разходите) за същата година е 45 хил. лв.
През предходните години IT9 е декларирала сходни приходи. През 2016 и 2017 г. фирмата е декларирала обороти от по 174 хил. лв. През 2015 г. приходите са били 138 хил. лв.
Анализ на инсталационния файл
За да се инсталира този стоукъруер е необходим физически достъп до устройството (въпреки че с малко социално инженерство жертвата може да бъде убедена сама да си го инсталира на смартфона).
При инсталацията е необходимо да се изключи защитата на Google Play Protect (която пази устройството от потенциално опасни приложения) и да се позволи инсталирането на приложения от непознат източник.
Инсталационният файл е малко повече от 2 MB. Пуснах го във Virus Total за анализ. Повечето от антивирусните програми не го засичат. Но някои от тях го маркират като потенциално опасен софтуер.
Поглед отвътре
След инсталацията Android Monitor може да функционира незабелязано и жертвата никога да не разбере, че устройството му се следи.
Не съм толкова луд да инсталирам стоукъруер на телефона си, затова показвам скрийншотове от демо акаунт. Възможно е да има разлики с реалния администраторски панел.
Ако се вярва на демо акаунта, приложението ви дава достъп до всичко от списъка с обаждания до видео файлове и съобщения в Tinder.
Ето как изглежда секцията за шпиониране на съобщения в Messenger.
Безплатна програма за шпиониране на телефон
IT9 е записана като собственик и на FreeAndroidSpy: безплатен стоукъруер с по-граничени функции от разгледания горе пример.
С безплатното приложение може да се следи местоположението на устройството, списъка с контакти, медийните файлове.
Законна ли е продажбата на шпионски софтуер?
Да. Шпионският софтуер се използва, за да следи за безопасността на членове на семейството; или пък за местоположението на служителите във фирма. Той се инсталира с презумцията, че човекът, който ще бъде следен, знае за присъствието на софтуера.
Но пътят към ада е осеян с добри намерения. Макар и създаден с „благородни“ цели, софтуерът за шпиониране на телефони се използва без знанието на набелязаните цели.
Затова през октомври 2019 г. Федералната търговска комисия на САЩ за пръв път забрани на компания да рекламира и продава шпионски софтуер, докато не се увери, че той няма да бъде използван без знанието на следения.
През август 2020 г. Google обяви, че вече няма да показва реклами на стоукъруер. (Доколкото знам тази забрана засега може да се избегне).
Злоупотребата със стоукъруер очевидно е растящ проблем, който вече привлича вниманието и на регулатори, и на обществото.
Как да разбера дали на телефона ми има шпионски софтуер?
Имам кратък наръчник, който ще ви позволи лесно да проверите дали телефонът ви се подслушва.
Няколко бързи съвета:
- ако батерията ви започне да пада бързо, това може да се дължи на стоукъруер
- проверете в Settings за непознати работещи приложения
- бъдете много внимателни, ако някой ви кара да инсталирате приложение от непознат източник (различен от Google Play)
Супер е блога. Ще е супер ако направиш проучване кои са най-добрите алтернативи на TrueCrypt в днешно време. Колкото повече време минава, TC става все по-несигурен, а прекия му наследник Veracrypt има сенчести връзки с лоши държавни организации зад океана. Също така, може би ще представлява интерес на широката публика как можеш да си направиш волт с лични файлове и да го съхраняваш в AWS Glacier почти без пари.