Android-смартфон, изъятый во время обыска, вернули со шпионским ПО

Устройство принадлежало российскому программисту, его обвинили в отправке денег в Украину. Дома у него прошел обыск, в ходе которого и был изъят смартфон, а сам он заключен под стражу.

Мужчине угрожали пожизненным заключением за отказ от сутрудничества и вынудили раскрыть пароль от устройства. После 15-дневного административного ареста его отпустили, смартфон же вернули уже с установленным шпионским ПО типа Monokle (вероятно, его обновленная версия).

Monokle позволяет отслеживать местоположение устройства, записывать телефонные звонки, нажатия клавиш и читать сообщения, в том числе из зашифрованных мессенджеров.

Первым сигналом стало подозрительное уведомление «Синхронизация Arm cortex vx3», что не является стандартным на этом устройстве (Oukitel WP7 под управлением Android 10).


"Первый отдел" и Citizen Lab провели технический аудит и вот что обнаружили:

1) Шпионское ПО действительно было - его спрятали в троянизированную версию приложения Cube Call Recorder (подлинное приложение позволяет записывать входящие звонки).

2) Это приложение запрашивало слишком много разрешений, не предусмотренных в подлинной версии:

- сбор геолокационных данных;
- запись телефонных разговоров и текстовых сообщений;
- сканирование локальной Wi-Fi сети для получения информации о других подключённых устройствах;
- удалённая установка и удаление приложений.

3) Код приложения обфусцирован, чтобы скрыть приложение и его активность, поэтому многие антивирусные программы никак не реагируют на данное ПО.

4) Это ПО может быть связано с семейством шпионских программ Monokle (впервые о нем начали говорить в 2019), но с улучшениями, поэтому это либо обновленная версия Monokle, либо она была создана путем повторного использования большей части исходного кода.

Мы тут на ютубе рассказали про Bastyon

Кто не в курсе, это соцсеть на блокчейне со своей внутренней криптовалютой PKOIN, которую можно зарабатывать там же, обменивать на рубли или тратить в магазине внутри самого Bastyon.

Эту соцсеть невозможно заблокировать и у неё полностью открытый исходный код. А ещё мы взяли интервью у её создателя - Даниила Сачкова.

Смотрите подробный обзор на YouTube и ловите там же скидку на VPN: https://youtu.be/ifiocSpM0sA

В дополнение к наблюдениям на ntc.party (1 и 2) об экспериментальном шатдауне в Дагестане, делимся собственными наблюдениями:

- Github, GPT, Telegram, Whatsapp и прочие зарубежные сервисы не работали, при этом Google работал
- иностранные VPN не работали
- RKS VPN работал прерывисто (условно 40 минут работал, 20 минут отдыхал), причем протоколы как vless, так и vmess
- электронная почта gmail не работала

По сообщениям и комментариям из Дагестана самым (и чуть ли не единственным) рабочим из коммерческих VPN оказался наш RKS VPN. Потому что vless и vmess.

Как доменный регистратор отключил платформу itch.io (её ещё условно называют соцсетью для разработчиков игр)

История весьма абсурдная, была ли это ошибка в запросе, бюрократические сложности или другие причины - неизвестно, но исход один - сайт был недоступен. Как так получилось:

1) Пользователь itch.io создал на платформе страницу для "игры" о Funko Pop, загрузив скриншоты.

2) Эту страницу нашел кроулер компании BrandShield, которая занимается защитой брендов и мониторингом нарушений DMCA (Digital Millennium Copyright Act) - закон США о защите авторских прав в интернете.

3) Вместо стандартного DMCA-уведомления с просьбой убрать нарушающий права контент, система отправила жалобу хостеру и доменному регистратору с заявлением, что это якобы "фрод и фишинг".

4) Хостер передал жалобу в itch.io и платформа оперативно удалила страницу, уведомив, что проблема решена.

5) Доменный регистратор при этом жалобу и тикет не закрыл, и результате, вероятно, по таймеру тикета, домен itch.io был отключен.

Блокировки и другие формы давления на независимые СМИ в России - отчёт RKS Global и OONI

Исследователи провели 15 интервью с представителями медиа, использовали количественный анализ данных OONI (Открытая обсерватория сетевых помех), а также открытые источники и списки Citizen Lab для тестирования цензуры.

▪️подтверждена блокировка 279 доменов новостных СМИ с сентября 2023 года по сентябрь 2024 (вдвое больше, чем годом ранее);

▪️блокировки осуществляются с использованием различных техник, включая вмешательства на уровне DNS, TCP/IP и TLS-рукопожатий;

▪️большинство провайдеров блокирует соединения на основе доменов указанных в TLS-заголовке SNI (Server-Name Indication), что говорит о широком применении ТСПУ и централизованном управлении блокировками со стороны Роскомнадзора.

Коротко — на сайте RKS Global, полный текст отчёта по ссылке.

На ютубе рассказали про главные новости последних двух недель.

Здесь много про нейросети, немного абсурдных новостей из России и снова про нейросети:

▫️12 ежедневных обновлений OpenAI, среди которых нейросеть для генерации видео Sora;
▫️предложение заменить нейросетями акстрису из Иронии Судьбы и признать Санта-Клауса иноагентом;
▫️языковая модель Grok от Илона Маска, доступная в X (Twitter) и Tesla-робот;
▫️мошеннические криптоматы в городах России;
▫️Google Genie-2 для создания трехмерных миров;
▫️борьба Росскомнадзора с хостинг-провайдерами
и другие новости.

Смотрим по ссылке, общаемся в комментах: https://youtu.be/2Oh31DLgVPo?si=zED97MjfvSuX31j0

У нас в DPIdetector есть внутренняя аналитика по блокировкам мессенджеров (вероятно, скоро будет публичной).

Так вот что происходит по Viber. Час назад заблокировали полностью (время по UTC).

Ссылка на пост с VPN

В рамках борьбы с пиратством французский суд обязал DNS-сервисы Quad9 и Vercara блокировать доступ к пиратским сайтам, стримящим спортивные матчи, включая Лигу чемпионов и Премьер-лигу.

Quad9 утверждает, что ее система разработана таким образом, чтобы одинаково относиться к каждому пользователю в любой стране. Из соображений конфиденциальности Quad9 также не располагает точной информацией о местонахождении своих пользователей. Это соответствует европейским и швейцарским законам о конфиденциальности, поэтому временная блокировка сайтов распространяется глобально на всех юзеров Quad9.

Компания временно выполняет блокировки, чтобы избежать штрафов, но планирует подать апелляцию. Quad9 призывает общественность поддержать её усилия в борьбе с цензурой DNS. Результаты дела могут существенно повлиять на интернет-свободу.

В декабре 2024 года разработчики Xray-core представили XHTTP — новый транспортный протокол, расширяющий возможности REALITY. XHTTP обеспечивает разделение восходящего и нисходящего трафика, улучшенную поддержку CDN и повышенную совместимость с различными сетевыми средами. Это нововведение открывает новые горизонты для обхода сетевых ограничений и повышения эффективности передачи данных.

XHTTP создан на основе SplitHTTP, который разбивает соединение на части таким образом, что при просмотре потокового видео туннель не остаётся статичным. Вместо этого соединение фрагментируется и пересобирается в виде множества случайных запросов, создавая со стороны видимость активного веб-серфинга.

Протокол уже работает в 3X-UI, вам всего лишь нужно обновиться поменять в конфигах транспорт на XHTTP. На данный момент протокол XHTTP поддерживает лишь ограниченное число клиентов.

Сербские власти используют шпионское ПО и инструменты Cellebrite для взлома устройств журналистов и активистов

В новом докладе Amnesty International говорится, что сербские спецслужбы используют шпионское ПО NoviSpy и технологии компании Cellebrite для слежки за журналистами, правозащитниками и участниками антиправительственных движений. NoviSpy позволяет перехватывать сообщения, копировать контакты, делать скрытые снимки экрана и отслеживать местоположение устройств. Эти данные передаются на серверы, находящиеся под контролем властей. Инструменты Cellebrite помогают взламывать устройства, упрощая установку шпионских приложений без ведома владельцев.

Amnesty International также выявила, как сербские власти использовали Cellebrite для эксплуатации уязвимости нулевого дня в Android-устройстве одного из активистов.

Один из активистов поделился с правозащитниками своей историей. Его задержали, допросили, но он отказался раскрыть пароль от телефона. Несмотря на это, устройство вернули уже со шпионским ПО. После допроса активист обратился к экспертам Amnesty. Организация подтвердила, что власти взломали его телефон при помощи оборудования Cellebrite.

Интересно, что компания Cellebrite отрицает свою причастность к установке шпионских приложений.

Юзеры сообщают нам, что в РФ заблокировали домен почтового сервиса tutanota (tuta.com).

Основной домен tutanota.com, который они использовали до ребрендинга в tuta, на самом деле был заблокирован еще в 2020 году по решению генпрокуратуры, а сегодня, похоже, в блок улетел их обновленный домен.

Сам почтовый сервис tutanota существует с 2011 года, а в 2020 по решению немецкого суда они установили к себе бэкдор.

Наша внутренняя проверка показывает, что проблемы с доступом к домену действительно есть, но на данный момент не на всех провайдерах.

А у вас работает tuta?

Роскомнадзор включил CryptPad в реестр запрещенных сайтов 10 декабря, ограничив доступ к нему. Заблокирован был документ в котором упоминаются наркотики, ну и как это часто бывает с блокировкой по HTTPS - в блок улетел весь ресурс.

CryptPad — это онлайн-сервис для совместной работы, обеспечивающий высокий уровень конфиденциальности. Он позволяет пользователям создавать и редактировать документы, таблицы, презентации и даже хранить файлы, при этом сохраняя их данные зашифрованными с использованием end-to-end шифрования. Данный сервис активно использовался среди правозащитников и активистов для распространения документов и прочих данных.

На устройствах Boox GPT-3 заменили на модель с цензурой от ByteDance

На ридерах и планшетах Boox произошла замена языковой модели Azure GPT-3 на продукт от ByteDance, известной благодаря TikTok. Новая модель подвергает тексты строгой цензуре, избегая критики в адрес Китая, России, Северной Кореи и их союзников.

Например, на вопросы о спорных действиях России модель уклоняется от прямых ответов, сосредотачиваясь на её «положительной роли» в международных делах. Также модель отказывается обсуждать запросы, связанные с «Винни-Пухом», известным символом интернет-протестов против китайской цензуры.

VPN-дайджест. Декабрь

VPN-протоколы:

▪️в последних числах декабря Wireguard снова начал подвергаться блокировкам на мобильном интернете;
▪️протокол Shadowsocks по-прежнему остается заблокированным на мобильном интернете (с октября этого года);
▪️на домашнем интернете Shadowsocks снова доступен;
▪️Wireguard на домашнем интернете не блокируется повсеместно, но могут по-прежнему оставаться проблемы с подключением в ряде регионов;
▪️также в некоторых регионах наблюдаются блокировки протоколов Cloak и OpenVPN на домашнем интернете.

YouTube, Viber и суверенизация:

▪️DPIdetector теперь замеряет скорость YouTube. На сегодня YouTube можно считать практически полностью заблокированным в большинстве регионов России. Скорость его загрузки в редких случаях доходит до 1 Мбит/сек. Посмотреть на графики в динамике можно на главной странице.

▪️С 13 декабря мессенджер Viber заблокирован на территории России. Причина - несоблюдение российского законодательства.

▪️19 декабря Роскомнадзор внёс WhatsApp, Skype, Wire, Element и ещё ряд ресурсов в реестр организаторов распространения информации. Это означает, что они теперь обязаны собирать, хранить и передавать властям по требованию все пользовательские действия, в том числе содержимое переписок, а несоблюдение может грозить блокировкой.

▪️Запланированные на декабрь учения по “суверенизации Рунета” всё же состоялись, особенно ощутили это жители Дагестана, где 6-7 декабря не работало большинство зарубежных ресурсов (Github, GPT, WhatsApp, Telegram и др.), попытки подключиться к зарубежным VPN также выдавали ошибки.

▪️Роскомнадзор опубликовал приказ, которым предлагается обязать операторов связи передавать в ведомство информацию об использовании VPN своими пользователями. Когда именно это начнёт работать и как будет осуществяться эта процедура - остается неясным. Но пользователям VPN беспокоиться пока не стоит, это не запрещено законом.

▪️Работа зарубежных хостинг-провайдеров в новом году остаётся под вопросом. Роскомнадзор допустил, что может ограничить работу в России таких компаний, как GoDaddy, Kamatera, Network Solutions, Ionos, HostGator, DigitalOcean, Amazon Web Services и Hetzner Online GmbH. Ссылается ведомство, как и в других случаях, на нарушение законодательства, в частности, не включение в реестр провайдеров хостинга.

Восстановить стабильную скорость YouTube и справиться с другими блокирками поможет VPN. Например, RKS VPN или Amnezia с быстрой настройкой, безлимитным трафиков и удобными локациями.

Друзья, с наступающим Новым Годом!🎄

Мы не будем подводить здесь в посте большие итоги, вы про них и сами знаете, мы вместе с вами проживали этот год, боролись с блокировками, ускоряли YouTube, следили за ситуацией с Дуровым и удивлялись новым достижением нейросетей.

На нашем YouTube-канале вышел последний в этом году ролик, там вспоминаем самые громкие события уходящего года в России и мире и обмениваемся поздравлениями в комментариях.

Пусть новый год принесет всем нам больше свободы, возможностей и уверенности в завтрашнем дне!

Счастья и светлого будущего!✨ Ваша команда Tech Talk.

В новом году борьба с VPN добралась до Индии.

Из индийских Apple App Store и Google Play было удалено как минимум 6 VPN-приложений, в том числе популярное 1.1.1.1, разработчиком которого является Cloudflare, а также Hide.me и PrivadoVPN.

Удалить приложения потребовало Министерство внутренних дел Индии. Это первый случай правоприменения после вступления в силу закона о регулировании VPN-приложений в 2022 году. Он обязавает поставщиков VPN и операторов облачных сервисов хранить полные записи своих клиентов, включая имена, адреса, IP-адреса и историю транзакций, в течение пятилетнего периода.

Сами VPN-сервисы новые правила, разуеется, не оценили, а некоторые крупные игроки уже объявили о планах вывести свою серверную инфраструктуру из Индии.

Вышел шикарный отчет про онлайн-цензуру в Иране (pdf eng).

Что интересного пишут:

• Полностью блокируются протоколы: Socks5, SSTP, PPTP, IKEv2/IPsec, L2TP, Softether, чистые OpenVPN, Wireguard и Tor. Частично блокируются или замедляются, но у многих работают Shadowsocks с обфускацией, OpenVPN+Cloak, Wireguard с обфускацией (как в AmneziaWG), MTProto, SSH, obfs4 и QUIC.

• Но есть один нюанс: когда на зарубежные адреса передается много непонятных данных, через некоторое время такие адреса тоже блокируются. Таким образом через несколько часов/дней/недель блокируются V2Ray/XRay и другие протоколы с обфускацией.

• Разные правила блокировок работают для разных диапазонов зарубежных IP-адресов. В системе поддерживается три списка: whitelist (“хорошие” адреса и диапазоны, которые либо добавлены в белый список руками, либо они не принадлежат известной хостинг-платформе и на них в последние три месяца не было замечено работающих VPN/прокси), graylist (это подозрительные адреса, но недостаточно причин их блокировать, трафик на такие адреса анализируют более тщательно. Например, это все адреса, которые принадлежат известным хостерам). Ну и запрещенный список, blacklist.

• DNS трафик на известные международные DNS-ресолверы сильно режут по IP и по фингерпринтам популярных DNS-клиентов (типа клиента YogaDNS), чтобы загнать конечных пользователей на провайдерские DNSы с цензурой. Пользователи выкручиваются поднятием собственных серверов с DoH (DNS-over-HTTPS), DoT (DNS-over-TLS) и DoQ (DNS-over-QUIC).

• В 2023 году в Иране использовался Active Probing. Это когда к примеру поддельный клиент (который на самом деле часть системы цензуры) пробует соединяться с сервером, чтобы выяснить, что он ответит, и заблокировать его, если он ответит как сервер VPN. А начале 2024 года в Иране случился апгрейд их DPI и теперь active probing больше не используется.

• Система, описанная в отчете, работала так до декабря 2024, а в декабре часть блокировок внезапно отключили или ослабили. Почему, исследователи не знают, и временно это или постоянно, тоже непонятно.

Недавно проведённый эксперимент показал неожиданный способ обхода блокировок Великого китайского фаервола (GFW) благодаря изменению параметров TCP-заголовков. Один из исследователей протестировал гипотезу, согласно которой добавление TCP-временных меток может влиять на способность GFW обнаруживать и блокировать обфускацию obfs4.

Исследователь настроил обфускацию obfs4 с режимом iat-mode=2 и активировал на Windows параметры TCP Window Scale и TCP Timestamps через реестр: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Tcp1323Opts (значение установлено на 3). После этого обфусцирующий мост obfs4 начал работать без перебоев, хотя ранее считалось, что GFW успешно блокирует обфускацию obfs4. Для проверки был собран дамп трафика, который показал, что соединения через порт 17120 остаются свободными от вмешательства. Даже при одновременной загрузке данных (например, при потоковом воспроизведении музыки) соединение не прерывалось.

Другие исследователи проанализировали работу регионального фаервола в провинции Хэнань. Они обнаружили, что соединения блокируются только в случае фиксированной длины TCP-заголовка (20 байт). Если длина заголовка увеличивалась за счёт опций TCP, таких как Maximum Segment Size (MSS), Timestamps, или Selective Acknowledgment (SACK), то фаервол считал эти данные частью полезной нагрузки и не мог корректно распознать протоколы вроде TLS ClientHello и HTTP. Были проведены тесты с различными значениями длины TCP-заголовков, которые подтвердили, что блокировка происходила лишь при длине 20 байт. При этом параметры обфускации не влияли на успешность соединения.

В России obfs4-бриджи, выдаваемые через сайты, Gmail и Telegram, подвергаются массовым блокировкам у большинства провайдеров IPv4 через определённые промежутки времени. Однако некоторые старые списки мостов (например, двухлетней давности), опубликованные на GitHub, продолжают функционировать.

Таким образом, незначительная часть устаревших мостов остаётся рабочей и не блокируется, что может помочь в обходе цензуры.

Недавняя практика блокирования QUIC-трафика с использованием расширений Encrypted Client Hello (ECH) в начальных пакетах теперь могла начаться и в Узбекистане. Подобное уже активно работает в РФ, о чем мы писали тут.

Более того, наблюдались трудности с выполнением DNS-запросов для получения A-записи домена cloudflare-ech.com, что может также свидетельствовать о возможных ограничениях.

Юзеры из Узбекистана, а у вас работает ECH? Поделитесь с нами в комментариях!

В России похоже легло всё, кроме Телеграмма. С нашими VPN все работает.

Пишите ваши симптомы в комменты, давайте разбираться, что поломали на этот раз.