В марте 2017 года Wikileaks начала публикацию дампа под кодовым названием Vault 7, содержащего подробности работы Центрального разведывательного управления (ЦРУ) США. Бумаги, описывающие самые разные хакерские инструменты и техники правительства, были переданы в распоряжение ресурса неизвестным информатором.

Сегодня WikiLeaks обнародовала очередную порцию документов, рассказывающих о вредоносном Android-приложении HighRise, которым ЦРУ пользуется для перехвата и переадресации SMS-сообщений.

Согласно официальной инструкции (PDF), HighRise работает только для Android версий 4.0-4.3 (то есть от Ice Cream Sandwich до Jelly Bean), однако бумаги датированы декабрем 2013 года, и можно предположить, что с тех пор вредоносный инструмент обновили, и теперь он поддерживает и более свежие версии мобильной ОС.

Малварь скрывается внутри приложения TideCheck (tidecheck-2.0.apk, MD5: 05ed39b0f1e578986b1169537f0a66fe). При этом инструмент определенно не предназначен для атак с использованием социальной инженерии, то есть оперативники ЦРУ должны самостоятельно установить приложение на устройство жертвы и запустить его вручную, чтобы малварь укрепилась в системе.

После первого запуска приложения специалист ЦРУ должен ввести специальный код для доступа к настройкам малвари. По умолчанию кодом выступает слово «inshallah» («Иншаллах», в переводе с арабского — «если пожелает Аллах‎». Ритуальное молитвенное восклицание, междометие, используемое в арабских и других мусульманских странах, как знак смирения мусульманина перед волей Аллаха). После ввода кода, становятся доступы три кнопки, первая из которых отвечает за инициализацию приложения, вторая открывает файл конфигурации, и третья позволяет передать SMS-сообщения с зараженного устройства на удаленный сервер ЦРУ.

Также обнародованные Wikileaks документы свидетельствуют о том, что HighRise умеет использовать TLS/SSL для защиты соединений; может пересылать копии всех входящих SMS-сообщений на подконтрольный ЦРУ сервер; отправлять сообщения с зараженного устройства; использоваться не только в качестве малвари, но также может служить каналом связи между полевыми оперативниками ЦРУ и их «кураторами».

Фото: Depositphotos

3 комментария

  1. Il

    14.07.2017 at 13:23

    Это точно приложение для перехвата сообщений? Из текста не ясно, может ли приложение прятаться. Кто мешает пользователю удалить его?

    • john_

      20.07.2017 at 07:24

      Ничто не мешает более новой версии получить права админа, Рут-привилегии и скрыться в системе так, что никто не найдёт. Уверен, что «эти» ребята обладают массой эксплоитов для андроида, в т. ч., которые получают рут.

  2. pancho

    16.07.2017 at 10:09

    Из текста ясно что речь идёт не о самой свежей версии инструмента…

Оставить мнение