NoviSpy razotkriven: Tragovi državnog nadzora u Srbiji

Pregled alata, taktika i posledica srpske operacije NoviSpy

Autor: David Stevanović

U doba sve većih digitalnih pretnji, zaštita naših ličnih podataka postaje važnija nego ikad. Novija istraživanja otkrila su ranije nezabeležen špijunski softver za Android, prozvan NoviSpy, koji izgleda da čini deo zabrinjavajućeg trenda upotrebe invazivnih aplikacija od strane lokalnih vlada, za praćenje ljudi od interesa. Ovaj blog donosi pregled istraživanja o ovom spajveru, sa fokusom na njegov dizajn, funkcionalnost i šire posledice po sajber bezbednost i digitalna prava.

NoviSpy je naziv za nedavno otkriveni Android špijunski softver, koji državne službe koriste za nadzor novinara, aktivista i članova civilnog društva. Spajver bi tipično bio instaliran na uređaj oduzet prilikom hapšenja, ili predat pre informativnog razgovora, uz pomoć forenzičkog alata kompanije Cellebrite. Istraživanje je započeto kada je jedna od osoba posumnjala da joj je telefon kompromitovan. Forenzička analiza uz pomoć alata kao što su Mobile Verification Toolkit i AndroidQF, potvrdila je prisustvo spajvera. Mada se čini da je aktivno korišćenje ovog špijunskog softvera prekinuto pošto je slučaj dospeo u javnost, incident i dalje predstavlja povod za zabrinutost zbog razmera ciljanog nadzora.

NoviSpy je funkcionisao kroz dve glavne komponente:

• “Com.serv.services”, odnosno NoviSpyAdmin, i
• “Com.accesibilityservice”, odnosno NoviSpyAccess.

Obe komponente zajedno omogućavale su izvlačenje osetljivih podataka sa uređaja i praćenje gotovo svih aktivnosti korisnika.

Komponenta NoviSpyAdmin oslanjala se na širok spektar sistemskih dozvola – pre svega na administratorski pristup, po čemu je i nazvana – radi prikupljanja osetljivih informacija. To uključuje pristup kontaktima, SMS porukama, evidenciji poziva, audio snimcima, pa čak i praćenje telefonskih razgovora uživo. Komunikaciju sa udaljenim serverom vršio je putem FTP-a (File Transfer Protocol) i SMS komandi.

Za zaštitu podatak tokom prenosa, NoviSpyAdmin je koristio AES (Advanced Encryption Standard), metodu za simetrično šifrovanje. Međutim, ključ za šifrovanje bio je ugrađen direktno u aplikaciju, što predstavlja ozbiljan bezbednosni propust i ukazuje na loš dizajn sistema zaštite.

Pored toga, u izvornom kodu aplikacije pronađeni su stringovi na srpskom jeziku, što dodatno podržava pretpostavku da je NoviSpy lokalnog porekla.

Sofisticiraniji od svog pandana, NoviSpyAccess je nazvan Androidovom servisu za pristupačnost – funkcija namenjenih korisnicima sa invaliditetom – koji je zloupotrebljen za preuzimanje kontrole nad skoro svim aspektima uređaja. Uz ove dozvole, NoviSpyAccess je mogao da pravi snimke ekrana, koristi kameru, čita notifikacije, prati lokaciju korisnika, kao i da sve prikupljene podatke šalje na udaljeni server.

Aplikacija je takođe imala više naprednih funkcija za nadzor uređaja i zaštitu od detekcije. Koristila je Tor mrežu za anonimnu komunikaciju i ADB-a (Android Debug Bridge) za daljinsko izvršavanje shell komandi. Pored toga, koristila je i prilagođen AES algoritam za šifrovanje za zaštitu podataka pre prenosa, dodatno prikrivajući svoje prisustvo i otežavajući forenzičku analizu.

Istraživanje je otkrilo nekoliko ključnih elemenata obe komponente:

1. Razlika u složenosti

NoviSpyAdmin je koristio relativno jednostavne metode za izvlačenje podataka, što ga je činilo ograničenijim po obimu. Nasuprot tome, NoviSpyAccess je imao znatno napredniju arhitekturu, što odražava njegove šire i invazivnije funkcionalnosti.

2. Ugrađeni pristupni podaci

Obe komponente sadržale su unapred definisane vrednosti – uključujući ključeve za šifrovanje, korisnička imena, IP adrese i druge parametre konfiguracije Mada je ovakav pristup omogućavao brzo instaliranje i potencijalno masovno kompromitovanje uređaja, uveo je i ozbiljne bezbednosne propuste, što je špijunski softver učinilo lakšim za otkrivanje, obrnuti inženjering i analizu

3. Mrežna infrastruktura povezana sa državom

Analiza IP adresa koje je koristio NoviSpy ukazala je na veze sa državnim internet provajderima poput Telekoma Srbije, kao i sa infrastrukturom državnih službi poput Bezbednosno-informativne agencije. U kombinaciji sa upotrebom forenzičkih alata u vlasništvu državnih službi prilikom ekstrakcije podataka sa telefona, ove veze direktno ukazuju na učešće države u primeni špijunskog softvera.

Istraga o špijunskom softveru NoviSpy osvetljava sve razvijeniju prirodu špijunskih pretnji u savremenim mobilnim okruženjima. Dok aplikacija NoviSpyAdmin predstavlja tradicionalniji pristup nadzoru i izvlačenju podataka, NoviSpyAccess pokazuje koliko opasan može biti koju donosi napredan, višeslojni softver sa kapacitetom da preuzme potpunu kontrolu nad uređajem.

Svakodnevnim korisnicima digitalnih usluga, ovaj incident treba da posluži kao važan podsetnik za odgovor na rizike:

• Svest o sve naprednijim sajber pretnjama.
• Obavezna upotreba alata i aplikacija koje nude slojevitu zaštitu. 
• Zagovaranje strožih propisa o privatnosti za suzbijanje invazivnih tehnologija.

Dok se tehnologija neizbežno razvija, potrebno je da jačamo naše napore za zaštitu ličnih podataka od sve naprednijih pretnji kao što je NoviSpy.