又一家间谍软件制造商被发现散布假冒Android窥探应用程序

据一份新据报道，另一家政府间谍软件制造商因其客户使用假冒Android应用程序在目标上安装其监控软件而被捕。

周四，研究间谍软件的意大利数字版权组织Osservatorio Nessuno发布了一份有关名为Morpheus的新恶意软件的报告。该间谍软件伪装成手机更新应用程序，能够从目标设备窃取大量数据。

研究人员的研究结果表明，执法和情报机构对间谍软件的需求如此之高，以至于有大量公司提供这种技术，其中一些公司在公众关注之外运营。

在本案中，Osservatorio Nessuno得出的结论是，该间谍软件与IPS有关，IPS是一家意大利公司，已运营30多年，提供传统的所谓合法拦截技术，即政府用来捕获个人通过电话和互联网提供商网络流动的实时通信的工具。

据IPS的网站，该公司在20多个国家/地区开展业务，但这可能并不是指其间谍软件产品，直到今天这还是一个秘密。该公司的客户中有几家意大利警察部队。

IPS没有回应TechCrunch对该报告发表评论的请求。

研究人员将Morpheus称为“低成本”间谍软件，因为它依赖于欺骗目标自行安装间谍软件的基本感染机制。

更先进的政府间谍软件制造商，例如NSO Group和Paragon Solutions，允许其政府客户使用隐形技术（称为零点击攻击）感染其目标，这种攻击通过利用突破设备安全防御的昂贵且难以发现的漏洞，以完全隐形和隐形的方式安装恶意软件。

研究人员表示，在这种情况下，当局得到了目标手机提供商的帮助，该提供商开始故意屏蔽目标的移动数据。此时，电信提供商向目标发送了一条短信，提示他们安装一个旨在帮助他们更新手机并重新获得蜂窝数据访问权限的应用程序。这一策略在涉及其他意大利间谍软件制造商的其他案件中已有详细记录。

一旦间谍软件安装，它就会滥用Android内置的辅助功能，该功能允许间谍软件读取受害者屏幕上的数据并与其他应用程序交互。研究人员表示，该恶意软件旨在访问设备上的各种信息。

然后，间谍软件提示进行虚假更新，向目标显示重新初创公司屏幕，最后欺骗WhatsApp应用程序，要求目标提供生物识别信息以证明是他们。在目标不知情的情况下，生物识别窃听通过向帐户添加设备来授予间谍软件对其WhatsApp帐户的完全访问权限。这是乌克兰政府黑客以及意大利最近的间谍活动中使用的一种已知策略。

一家老公司有了新的间谍软件

Osservatorio Nessuno的研究人员（要求只透露名字）Davide和Giulio据间谍软件的基础设施得出结论，该间谍软件属于IPS。

特别是，该活动中使用的IP地址之一注册为“IPS情报公共安全”。

两人还发现了一些包含意大利语短语的代码片段——这似乎已成为意大利间谍软件行业的传统。恶意软件代码包含意大利语单词，包括对Gomorra（关于那不勒斯暴徒的著名书籍和电视节目）和“意大利面条”的引用。

Davide和Giulio告诉TechCrunch，他们无法提供目标是谁的具体信息，但他们表示，他们相信这次袭击与意大利的“政治活动有关”，在意大利，“这种类型的针对性攻击如今非常普遍”。

一家网络安全公司的研究人员告诉TechCrunch，他们的公司一直在跟踪这种特定的恶意软件。研究人员在查看了Osservatorio Nessuno的报告后表示，该恶意软件肯定是由意大利监控技术制造商开发的。

IPS是一长串意大利间谍软件制造商中的最新一家，这些制造商填补了早已不存在的意大利公司Hacking Team留下的空白，Hacking Team是世界上最早的间谍软件制造商之一。该公司在被黑客攻击之前除了在国外销售外，还控制着当地市场的很大份额，后来被出售并重新命名。近年来，研究人员公开曝光了多家意大利间谍软件制造商，包括CY4GATE、GR Sistemi、Movia、Negg、Raxir、RCS Lab以及最近的SIO。

本月早些时候，WhatsApp通知大约200名用户安装了该应用程序的假冒版本，该应用程序实际上是SIO制作的间谍软件。 2021年，意大利检察官因严重故障而暂停使用CY4GATE和SIO间谍软件。