Een Servische journalist had zijn telefoon eerst ontgrendeld door een Cellebrite-tool en vervolgens gecompromitteerd door een voorheen ongedocumenteerde spyware met de codenaam NoviSpyDat blijkt uit een nieuw rapport gepubliceerd door Amnesty International.
“NoviSpy maakt het mogelijk gevoelige persoonlijke gegevens van de telefoon van een doelwit vast te leggen na infectie en biedt de mogelijkheid om de microfoon of camera van de telefoon op afstand in te schakelen”, aldus het bedrijf in een technisch rapport van 87 pagina’s.
Een analyse van forensisch bewijs wijst erop dat de spyware-installatie plaatsvond toen de telefoon van de onafhankelijke journalist Slaviša Milanov tijdens zijn detentie begin 2024 in handen was van de Servische politie.
Enkele van de andere doelwitten waren onder meer jeugdactivist Nikola Ristić, milieuactivist Ivan Milosavljević Buki en een niet bij naam genoemde activist van Krokodil, een in Belgrado gevestigde organisatie die dialoog en verzoening op de Westelijke Balkan bevordert.
De ontwikkeling markeert een van de eerste bekende gevallen waarin twee ongelijksoortige, zeer invasieve technologieën in combinatie werden gebruikt om spionage en de exfiltratie van gevoelige gegevens te vergemakkelijken.
NoviSpy is in het bijzonder ontworpen om verschillende soorten informatie van gecompromitteerde telefoons te verzamelen, inclusief schermafbeeldingen van alle acties op de telefoon, de locaties van doelen, audio- en microfoonopnamen, bestanden en foto’s. Het wordt geïnstalleerd met behulp van het opdrachtregelhulpprogramma Android Debug Bridge (adb) en manifesteert zich in de vorm van twee applicaties:
- NoviSpyAdmin (com.serv.services), dat uitgebreide toestemming vraagt om oproeplogboeken, sms-berichten, contactlijsten te verzamelen en audio op te nemen via de microfoon
- NoviSpyAccess (com.accesibilityservice), dat misbruik maakt van de toegankelijkheidsservices van Android om heimelijk schermafbeeldingen te verzamelen van e-mailaccounts en berichtenapps zoals Signal en WhatsApp, bestanden te exfiltreren, locatie te volgen en de camera te activeren
Wie NoviSpy precies heeft ontwikkeld, is momenteel niet bekend, hoewel Amnesty aan 404 Media vertelde dat het ofwel in eigen huis door de Servische autoriteiten had kunnen worden gebouwd, ofwel van een derde partij kon worden overgenomen. De ontwikkeling van de spyware zou al sinds 2018 aan de gang zijn.
“Samen bieden deze tools de staat een enorm vermogen om gegevens te verzamelen, zowel heimelijk, zoals in het geval van spyware, als openlijk, via het onwettige en onwettige gebruik van Cellebrite-technologie voor mobiele telefoonextractie”, aldus Amnesty International.
In reactie op de bevindingen zei het Israëlische bedrijf Cellebrite dat het de claims van misbruik van zijn tools onderzoekt en dat het passende maatregelen zal nemen, waaronder het beëindigen van de relatie met relevante instanties, als blijkt dat deze in strijd zijn met de eindgebruikersovereenkomst.
Tegelijkertijd bracht het onderzoek ook een zero-day escalatie-exploit aan het licht die werd gebruikt door het Universal Forensic Extraction Device (UFED) van Cellebrite – een software/systeem waarmee wetshandhavingsinstanties gegevens op mobiele telefoons kunnen ontsluiten en er toegang toe kunnen krijgen – om verhoogde toegang te verkrijgen. naar het apparaat van een Servische activist.
De kwetsbaarheid, bijgehouden als CVE-2024-43047 (CVSS-score: 7,8), is een user-after-free bug in Qualcomm’s Digital Signal Processor (DSP) Service (adsprpc) die zou kunnen leiden tot “geheugenbeschadiging terwijl de geheugenkaarten van HLOS behouden blijven”. geheugen.” Het werd in oktober 2024 door de chipmaker gepatcht.
Google, dat eerder dit jaar een ‘breder codebeoordelingsproces’ startte na ontvangst van kernelpanieklogboeken gegenereerd door de in-the-wild (ITW) exploit, zei dat het in totaal zes kwetsbaarheden in het adsprpc-stuurprogramma had ontdekt, waaronder CVE- 2024-43047.
“Chipsetstuurprogramma’s voor Android zijn een veelbelovend doelwit voor aanvallers, en deze ITW-exploit vertegenwoordigt een zinvol voorbeeld uit de praktijk van de negatieve gevolgen die de huidige beveiligingshouding van stuurprogramma’s van derden met zich meebrengt voor eindgebruikers”, zegt Seth Jenkins van Google Project Zero gezegd.
“De cyberbeveiliging van een systeem is slechts zo sterk als de zwakste schakel, en chipset/GPU-drivers vormen een van de zwakste schakels voor het scheiden van privileges op Android in 2024.”
Deze ontwikkeling komt op het moment dat de Europese tak van het Centrum voor Democratie en Technologie (CDT), samen met andere maatschappelijke organisaties zoals Access Now en Amnesty International, een brief heeft gestuurd naar het Poolse voorzitterschap van de Raad van de Europese Unie, waarin wordt opgeroepen tot het prioriteren van actie. tegen misbruik van commerciële surveillance-instrumenten.
Het volgt ook op een recent rapport van Lookout over hoe wetshandhavingsautoriteiten op het vasteland van China een wettig onderscheppingsinstrument met de codenaam EagleMsgSpy gebruiken om een breed scala aan informatie van mobiele apparaten te verzamelen nadat ze er fysieke toegang toe hebben verkregen.
Eerder deze maand onthulde het Citizen Lab verder dat de Russische regering een man had aangehouden omdat hij geld had gedoneerd aan Oekraïne en spyware, een getrojaniseerde versie van een oproeprecorder-app, op zijn Android-telefoon had geïmplanteerd voordat hij hem vrijliet.