To sikkerhetsforskere, Megan Ruthven hos Googles Android Security-team og Andrew Blaich hos mobilsikkerhetsselskapet Lookout, fortalte denne uken om et nytt spionvareverktøy som har blitt oppdaget på enkelte Android-enheter. Foredraget ble holdt under Black Hat-konferansen som ble arrangert i Las Vegas tidligere denne uken. Dette skriver Motherboard.
Lippizan
Skadevareverktøyene blir kalt for Lippizan og har inntil nylig vært tilgjengelig gjennom blant annet Google Play, skjult i apper med uskyldige navn som «Backup» og «Cleaner». Den ondsinnede koden blir ikke installert direkte, men først etter en valideringsfase. Skadevaren skal være oppdaget på færre enn hundre enheter før den ble blokkert. Distribusjonen har trolig vært målrettet.
Lippizan skal være i stand til å utføre rooting av de infiserte enhetene og dermed få fri tilgang til blant annet å gjøre opptak av telefonsamtaler eller lydene som kan fanges opp av mikrofonene. Den kan også registrere enhetens posisjon, bruke kameraet og hente alt som er av informasjon på enheten. Spesifikt skal skadevaren ha rutiner for å hente data fra en rekke kommunikasjonsapper, inkludert Gmail, LinkedIn, Messenger, Skype, Snapchat, Telegram, Viber og Whatsapp.
Oppdaget av Google
Ifølge et blogginnlegg som blant annet Ruthven har bidratt til, ble Lippizan oppdaget ved hjelp av Google Play Protect, et verktøy som Google nå har gitt nye egenskaper etter erfaringene med skadevaren Chrysaor tidligere i år. Chrysaor antas å stamme fra NSO Group, et relativt beryktet, israelsk selskap som leverer kybervåpen.
Lippizan antas derimot å stamme fra et en annen og langt mindre kjent leverandør av kybervåpen, nemlig Equus Technologies, som på nettet bare er tilstedeværende gjennom en LinkedIn-profil. Ifølge Motherboard har i alle fall én av dem som er oppgitt som ansatt hos Equus, tidligere jobbet for NSO Group.
Les også: Israelsk spionvare kan avlytte nesten alt brukerne gjør på iPhone
Usikker forbindelse
Koblingen mellom Lippizan og Equus er ikke akkurat bunnsolid. Det eneste holdepunktet ser ut til å være referanser til selskapet i koden til skadevaren. Dette er likevel nok til at Google og Lookout har valgt å trekke fram selskapet. Uavhengig av koblingen har noe for seg, kommer Google her med et budskap.
– Et kommersielt spionvareselskap prøvde å kjøre under Googles radar og levere spionvare på tvers av deres plattform. Med dette innlegget sier Google veldig offentlig «nei, det får du ikke», sier John Scott-Railton, en sikkerhetsforsker hos canadiske Citizen Lab, til Forbes.
Citizen Lab har tidligere avdekket forbindelser mellom iOS-skadevare og NSO Group.
Lav profil
På LinkedIn-siden oppgis det at Equus Technologies er et privateid selskap som spesialiserer seg på å utvikle skreddersydde, innovative løsninger for justismyndigheter, etterretningstjenester og nasjonale sikkerhetsorganisasjoner.
Motherboard har snakket med ikke navngitte kilder som hevder at Equus Technologies har vært i skadevarebransjen i en årrekke. Selv oppgir selskapet at det ble etablert i 2014.
Ifølge kildene skal Equus Technologies aktivt kjøpe detaljer om ellers ukjente sårbarheter og også kunne tilby kybervåpen rettet mot iOS.
Ikke bare ondsinnet
Et interessant poeng som Forbes nevner i en artikkel om det samme foredraget, er at vårens avsløring om de mange sikkerhetsproblemene i Samsung-operativsystemet Tizen, ble gjort av den (ifølge Forbes) daværende forskningssjefen hos Equus Technologies, Amihai Neiderman.
På bildet nedenfor, som Neiderman selv har postet på Twitter for en drøy uke siden, har han på seg en piquetskjorte med logoen til Equus. Bildet er hentet fra en bildekarusell som fortsatt finnes på forsiden til Black Hat-konferansens nettsted.
Les også: Slakter sikkerheten og kildekoden til Samsungs Android-alternativ