Хакеры воруют данные через поддельный WhatsApp с помощью шпионского ПО из Италии

Фото: Jakub Porzyncki / Nurphoto через Getty Image

Эксперты из Citizen Lab и Motherboard внимательно исследовали поддельное приложение и выяснили, что к его созданию может быть причастна итальянская компания Cy4Gate, производящая программы для сбора и анализа данных. Из официальных источников известно, что ранее компания поставляла ПО для спецслужб, силовиков и правозащитников. Видимо, теперь шпионские программы могут стать оружием в руках кибермошенников.

Владельцы Cy4Gate уверяют, что наоборот пытаются бороться с воровством информации в интернете, приводя в пример свою разработку Epeius, предназначенную для перехвата данных. Иронично, но именно название Epeius упоминается в одном из сертификатов шифрования, выводящем на домен, откуда незадачливые пользователи и получали доступ к поддельному WhatsApp.

В 2017 году компания Cy4Gate, входящая в состав государственного оборонного подрядчика Elettronica, представила свои наработки сенату Италии и даже получила задание создать приложение, которое бы помогало отслеживать распространение коронавируса, но позже сенаторы перепоручили задачу другим разработчикам. Возможно, именно поэтому ребята из Cy4Gate и решили подзаработать хакерством.

Суть мошенничества довольно проста – пользователь iPhone попадает на фальшивую страницу, устанавливает собственными руками вредоносную программу, маскирующуюся под WhatsApp, а после этого вся информация с его устройства становится доступной для мошенников благодаря профилям Mobile Device Management, которые и содержались в шпионской программе. Эксперты считают, что MDM-профили набирают популярность среди мошенников, так как стоимость эксплойтов для взлома iPhone стремительно увеличивается. Как видим, сэкономить хотят все, даже киберпреступники.

Первыми забили тревогу аналитики из компании ZecOps – они выявили домен config5-dati[.]com, с которого чаще всего производились атаки, и опубликовали несколько связанных с преступлениями IP-адресов. Информация ZecOps заинтересовала экспертов из Citizen Lab – Билл Марчак и Абдул Раззак проанализировали злополучный config5-dati[.]com и нашли еще несколько подозрительных доменов, за одним из которых был закреплен сайт непосредственно с вредоносным ПО.

Билл Марчак уверен, что установка MDM-профилей – это только вершина айсберга и самое начало криминальной цепочки. Эксперт считает, что загрузкой поддельного мессенджера процесс воровства данных не заканчивается, но, к сожалению, сотрудникам Citizen Lab не удалось выяснить, в чем же заключаются дальнейшие этапы кибермошенничества. Эксперты не знают, на кого именно была нацелена новая атака хакеров, но подозревают, что сбор данных распространялся на узкий круг лиц.

Вскоре выяснилось, что под доменами, обнаруженными Биллом Марчаком и его коллегами, скрываются ещё два кластера доменов. Один из них привел аналитиков к компании Cy4Gate и явно имел итальянский адрес, из чего можно сделать неутешительные выводы.