В отчёте, подготовленном Access Now, SMEX и Lookout, описаны три случая кражи данных в период с 2023 по 2025 год. Жертвами стали два египетских журналиста, один ливанский репортер и представители правительств Бахрейна, ОАЭ, Саудовской Аравии, Великобритании, а также, по предположениям, США.
Что произошло
Хакеры высылали фишинговые сообщения, получая Apple ID жертв. С помощью украденных данных они получали доступ к iCloud‑резервным копиям и могли просматривать содержимое iPhone. На Android‑устройствах они устанавливали шпионскую программу ProSpy, которая выглядела как мессенджеры Signal, WhatsApp, Zoom и региональные приложения ToTok и Botim. В некоторых случаях злоумышленники подменяли устройство в аккаунте Signal, что ранее использовали российские разведывательные группы.
Почему это важно
Компания Lookout связала эту группу с поставщиком услуг hack‑for‑hire, который, по её данным, работает с индийской APT‑группой BITTER и может быть ответвлением стартапа Appin. Такой посредник предоставляет правительствам более дешёвые варианты шпионского ПО и скрывает их участие, расширяя круг потенциальных целей и осложняя международные расследования.
Что дальше
Эксперты предупреждают, что подобные сервисы будут развиваться, предлагать новые способы обхода защиты мобильных платформ и требовать усиления киберзащиты у журналистов и активистов.