Активистка Инга Иманбай сообщила об обнаружении в своем телефоне вируса-шпиона Hermit

Интернет-взлом через программное обеспечение на телефоне. Иллюстративное фото

Гражданская активистка Инга Иманбай, жена лидера незарегистрированной Демократической партии Жанболата Мамая, заявила об обнаружении в своем телефоне шпионской программы для слежки Hermit, которую, по данным исследователей Lookout Threat Lab, использовали власти Казахстана.

«Власти следят за мной через дорогую итальянскую шпионскую программу. Антишпионская программа Lookout обнаружила на моем телефоне вирус Hermit. В конце концов, вы, наверное, теперь убеждены, что мы не преступники, не так ли? Мало того, что за нами следят пять машин, за телефоном 24 часа следите, ну, признайте уже, что мы не преступники, отпустите Жанболата!» — написала Инга Иманбай на своей странице в Facebook’e.

16 июня исследовательская группа по кибербезопасности Lookout Threat Lab заявила, что обнаружила Android-программу для слежки корпоративного уровня, используемую правительством Казахстана внутри страны. По данным организации, последние версии этой программы были обнаружены в апреле 2022 года, через три месяца после январских событий.

«Наш анализ показывает, что Hermit не только был направлен в Казахстан, но и что за этой кампанией, вероятно, стоит представитель национального правительства. Насколько нам известно, это первый случай выявления текущего клиента мобильного вредоносного ПО RCS Lab», — говорится в отчете Lookout Threat Lab.

Исследователи также сообщили, что при обнаружении этого вредоносного программного обеспечения в апреле этого года шпионская программа называлась «oppo.service» и выдавала себя за китайского производителя электроники Oppo. Веб-сайт, который вредоносное ПО использовало для маскировки своей вредоносной деятельности, — это официальная страница поддержки Oppo на казахском языке, которая с тех пор отключена.

«Версии, используемые в Казахстане, связаны с адресом C2 45.148.30[.]122:58442. Однако дальнейший анализ C2-сервера шпионского ПО показал, что этот IP-адрес используется в качестве прокси для настоящего C2-сервера по адресу 85.159.27[.]61:8442. Настоящий IP-адрес C2 находится в ведении STS Telecom, небольшого интернет-провайдера (ISP), работающего в Нур-Султане, столице Казахстана. Судя по разрозненным онлайн-записям, STS специализируется на "других проводных телекоммуникациях" и услугах кабельного телевидения», - написано в докладе исследователей по кибербезопасности.

Официальные комментарии властей Казахстана касательно исследования Lookout Threat Lab и заявления Инги Иманбай пока не появились. В пресс-службе правительства 27 июня сообщили Азаттыку, что уточнят, «в компетенцию какого госоргана относится вопрос».

Исследователи Lookout Threat Lab считают, что шпионское ПО Hermit разработано итальянским поставщиком шпионского ПО RCS Lab S.p.A и Tykelab Srl — компанией, занимающейся телекоммуникационными решениями, которую подозревают, что была подставной компанией.

Hermit представляет собой модульное программное обеспечение для наблюдения, которое скрывает свои вредоносные возможности в пакетах, загруженных после его развертывания. Hermit может записывать аудио, совершать и перенаправлять телефонные звонки, а также собирать данные, такие как журналы вызовов, контакты, фотографии, местоположение устройства и СМС-сообщения.

Данное шпионское ПО, предположительно, распространяется через СМС-сообщения.

«Hermit обманывает пользователей, открывая законные веб-страницы брендов, которые он выдает за себя, запуская вредоносные действия в фоновом режиме», — пришли к выводу исследователи.

Сообщается, что Hermit создали для устройств Android, но исследователи упомянули о вероятности существования аналогичной версии и для IOS.

Помимо Казахстана, шпионская программа лаборатории RCS, по данным Lookout Threat Lab, использовалась в Сирии, Пакистане, Чили, Монголии, Бангладеш, Вьетнаме, Мьянме и Туркменистане.

В Lookout Threat Lab отметили, что программа Hermit функционально похожа на израильскую программу-шпион Pegasus.

ЧИТАЙТЕ ТАКЖЕ: Pegasus может взломать любой смартфон. Разговор с создателями программы и жертвой взлома

В июле прошлого года СМИ сообщили, что официальные лица, журналисты, активисты и бизнесмены Казахстана оказались в списке мишеней киберслежки с использованием шпионского программного обеспечения Pegasus, которое разработала израильская фирма. Всего в «казахстанском секторе» списка телефонов, утверждают расследователи, около двух тысяч номеров. Журналисты, правозащитники и активисты назвали слежку нарушением прав человека. В Pegasus Project заявили, что в Казахстане заказчиками слежки, скорее всего, были власти, тогда как в других странах за политиками следили, вероятно, спецслужбы соперничающих стран.

Занимавший на тот момент должность первого заместителя администрации президента Казахстана Даурен Абаев в ответ на публикации об утечке информации об использовании Pegasus сказал: «Нам дали довольно интригующую информацию без каких-либо доказательств и просто предлагают нам поверить в это».

ЧИТАЙТЕ ТАКЖЕ:

AI: на телефонах как минимум четырех казахстанских активистов было установлено шпионское ПО PegasusApple оповестила ряд казахстанцев о том, что за их смартфонами, возможно, шпионили с помощью PegasusСерикжан Маулетбай: «В нашей стране могут прослушивать любого активного человека»Шпионское ПО Pegasus: как оно работает?«Из мира фантастики». Как в госорганах Казахстана реагируют на расследование о возможных взломахPegasus: взлом мобильных телефонов журналистов по всему миру