Un periodista serbio vio su teléfono desbloqueado por primera vez con una útil Cellebrite y luego comprometido por un software infiltrado previamente indocumentado cuyo nombre en código NoviSpysegún un nuevo referencia publicado por Gracia Internacional.
«NoviSpy permite capturar datos personales confidenciales del teléfono de un objetivo posteriormente de la infección y brinda la posibilidad de encender el micrófono o la cámara del teléfono de forma remota», dijo la compañía en un referencia técnico de 87 páginas.
Un descomposición de pruebas forenses apunta a que la instalación de software infiltrado se produjo cuando el teléfono del periodista independiente Slaviša Milanov estaba en manos de la policía serbia durante su detención a principios de 2024.
Algunos de los otros objetivos incluían al perturbador tierno Nikola Ristić, al perturbador medioambiental Ivan Milosavljević Buki y a un perturbador desconocido de Krokodil, una ordenamiento con sede en Belgrado que promueve el diálogo y la reconciliación en los Balcanes Occidentales.
El expansión marca uno de los primeros casos conocidos en los que se utilizaron dos tecnologías dispares enormemente invasivas en combinación para solucionar el espionaje y la exfiltración de datos confidenciales.
NoviSpy, en particular, está diseñado para resumir diversos tipos de información de teléfonos comprometidos, incluidas capturas de pantalla de todas las acciones en el teléfono, ubicaciones de los objetivos, grabaciones de audio y micrófono, archivos y fotografías. Se instala mediante la utilidad de linde de comandos Android Debug Bridge (adb) y se manifiesta en forma de dos aplicaciones:
- NoviSpyAdmin (com.serv.services), que solicita amplios permisos para resumir registros de llamadas, mensajes SMS, listas de contactos y aprender audio a través del micrófono.
- NoviSpyAcceso (com.accesibilityservice), que abusa de los servicios de accesibilidad de Android para resumir sigilosamente capturas de pantalla de cuentas de correo electrónico y aplicaciones de correo como Signal y WhatsApp, filtrar archivos, rastrear ubicación y activar la cámara.
Actualmente se desconoce exactamente quién desarrolló NoviSpy, aunque Gracia le dijo a 404 Media que podría haberlo construido internamente las autoridades serbias o haberlo adquirido a un tercero. Se dice que el expansión del software infiltrado ha estado en curso desde al menos 2018.
«Juntas, estas herramientas proporcionan al Estado una enorme capacidad para resumir datos tanto de forma estafa, como en el caso del software infiltrado, como abiertamente, mediante el uso ilegal e ilegítimo de la tecnología de ascendencia de teléfonos móviles Cellebrite», señaló Gracia Internacional.
La ordenamiento no ministerial señaló por otra parte que la Agencia Serbia de Información de Seguridad (BIA) ha sido vinculada públicamente a la adquisición de herramientas de software infiltrado desde al menos 2014, utilizando diversas ofertas como FinSpy de FinFisher, Predator de Intellexa y Pegasus de NSO Group para espiar encubiertamente organizadores de protestas, periodistas y líderes de la sociedad civil.
En una confesión compartida con Associated Press, la policía de Serbia caracterizó el referencia como «absolutamente incorrecto» y que «la útil forense es utilizada de la misma modo por otras fuerzas policiales de todo el mundo».
En respuesta a los hallazgos, la compañía israelí Cellebrite dijo que está investigando las denuncias de uso indebido de sus herramientas y que tomaría las medidas apropiadas, incluida la terminación de su relación con las agencias pertinentes, si se determina que violan su acuerdo de afortunado final.
Al mismo tiempo, la investigación asimismo descubrió un exploit de ascensión de privilegios de día cero utilizado por el dispositivo de ascendencia forense universal (UFED) de Cellebrite, un software/sistema que permite a las agencias policiales desbloquear y obtener entrada a los datos almacenados en teléfonos móviles, para obtener un entrada elevado. al dispositivo de un perturbador serbio.
La vulnerabilidad, rastreada como CVE-2024-43047 (puntuación CVSS: 7,8), es un error que el afortunado libera en el servicio de procesador de señal digital (DSP) de Qualcomm (adsprpc) que podría provocar «corrupción de la memoria mientras se mantienen los mapas de memoria de HLOS». memoria.» El fabricante de chips lo parchó en octubre de 2024.
Google, que inició un «proceso de revisión de código más amplio» luego de aceptar registros de pánico del kernel generados por el exploit in-the-wild (ITW) a principios de este año, dijo que descubrió un total de seis vulnerabilidades en el regulador adsprpc, incluido CVE- 2024-43047.
«Los controladores de chipset para Android son un objetivo prometedor para los atacantes, y este exploit de ITW representa un ejemplo significativo del mundo verdadero de las ramificaciones negativas que la flagrante postura de seguridad de los controladores de terceros plantea a los usuarios finales», dijo Seth Jenkins de Google Project Zero. dicho.
«La ciberseguridad de un sistema es tan esforzado como su enlace más débil, y los controladores del chipset/GPU representan uno de los eslabones más débiles para la separación de privilegios en Android en 2024».
Este acontecimiento se produce cuando el rama europeo del Centro para la Democracia y la Tecnología (CDT), pegado con otras organizaciones de la sociedad civil como Access Now y Gracia Internacional, enviaron una carta a la Presidencia polaca del Consejo de la Unión Europea, pidiendo priorizar la acto. contra el desmán de herramientas de vigilancia comerciales.
Asimismo sigue a un referencia nuevo de Lookout sobre cómo las autoridades encargadas de hacer cumplir la ley en China continental están utilizando una útil de interceptación lícito con nombre en código EagleMsgSpy para resumir una amplia escala de información de dispositivos móviles posteriormente de acontecer obtenido entrada físico a ellos.
A principios de este mes, Citizen Lab reveló por otra parte que el gobierno ruso detuvo a un hombre por donar mosca a Ucrania e implantó software infiltrado, una traducción troyanizada de una aplicación de impresión de llamadas, en su teléfono Android antiguamente de liberarlo.