Группа ИБ-экспертов обнаружила новый образец вредоносного ПО для Android-устройств, предназначенный для использования правоохранительными органами и спецслужбами. Инструмент был создан в Италии, и вначале исследователи решили, будто его разработчиком является итальянская компания Hacking Team. Однако, как показал более подробный анализ, все не так просто.
Вредонос способен незаметно для жертвы записывать видео и аудио, включать и выключать GPS, похищать хранящиеся на смартфоне данные, делать скриншоты и т.д. По словам одного из исследователей, инструмент представляет собой «заурядный и скучный коммерческий шпионский мусор». Тем не менее, вредонос не такой уж и «скучный». Программа инфицирует устройства сотрудников правительственных организаций, однако его автором является не скандальная Hacking Team, а малоизвестный итальянский стартап.
Главным «подозреваемым» является небольшая компания Raxir. Вредонос подключается к C&C-серверу, использующему цифровой SSL-сертификат, где содержится строка Raxir. Компания расположена в «инкубаторе» для технологических стартапов Citta’ Della Scienza в Неаполе. Согласно сайту «инкубатора», Raxir была основана в 2013 году и предоставляет программное обеспечение для проведения расследований. Как указано на странице компании, ее клиентами являются исключительно правительственные и правоохранительные органы Италии.
По словам экспертов (в их числе бывшие сотрудники Hacking Team), вредонос существенно отличается по структуре от инструментов Hacking Team и не содержит кода, разработанного нашумевшей компанией.