Obciążenia związane z wiadomościami na Androida atakują działaczy tybetańskich

Analiza fragmentu spyware z Androidem skierowanego do wybitnej tybetańskiej postaci politycznej sugeruje, że mogła zostać zbudowana w celu ustalenia dokładnej lokalizacji ofiary.

Badania przeprowadzone przez Laboratoria Obywatelskie na Uniwersytecie w Toronto Munk School of Global Affairs, jest częścią trwającego projektu, który bada, w jaki sposób społeczności tybetańskie wciąż są celem zaawansowanych kampanii cyberprzestępczych.

Laboratorium obywatelskie otrzymało próbkę aplikacji o nazwie KaKaoTalk ze źródła tybetańskiego w styczniu, zgodnie do swojego bloga. KaKaoTalk, wykonana przez południowokoreańską firmę, jest aplikacją do przesyłania wiadomości, która pozwala użytkownikom wymieniać się zdjęciami, filmami i danymi kontaktowymi.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Aplikacja została odebrana w styczniu 16 za pośrednictwem poczty elektronicznej przez "wysoką pozycję polityczną w społeczności tybetańskiej" - napisano w Citizen Lab. Ale wiadomość e-mail wyglądała tak, jakby pochodził od eksperta ds. Bezpieczeństwa informacji, który miał wcześniejszy kontakt z tybetańską postacią w grudniu.

W tym czasie ekspert ds. Bezpieczeństwa wysłał tybetańskiemu działaczowi legalną wersję pakietu aplikacji KaKaoTalk na Androida Plik (APK) jako alternatywę dla korzystania z WeChat, innego klienta czatu, ze względu na obawy związane z bezpieczeństwem, że WeChat może zostać użyty do monitorowania komunikacji.

Ale wersja KaKaoTalk dla Androida została zmodyfikowana, aby rejestrować kontakty ofiary, SMS-y i komórki konfigurację sieci telefonicznej i przekazanie jej do zdalnego serwera, który został stworzony w celu naśladowania Baidu, chińskiego portalu i wyszukiwarki.

Szkodliwe oprogramowanie może rejestrować informacje, takie jak identyfikator stacji bazowej, identyfikator wieży, kod sieci komórkowej i numer kierunkowy telefonu, powiedział Citizen Lab. Informacje te zwykle nie są przydatne dla oszusta, który usiłuje zlikwidować oszustwa lub kradzież tożsamości.

Ale jest przydatny dla atakującego, który ma dostęp do infrastruktury technicznej operatora telefonii komórkowej.

"Niemal na pewno reprezentuje informacje, których dostawca usług telefonii komórkowej potrzebuje, aby zainicjować podsłuch, często określany jako "pułapka i ślad" - napisano w "Laboratorium obywatelskim". "Uczestnicy na tym poziomie mieli również dostęp do danych wymaganych do przeprowadzenia triangulacji częstotliwości radiowych na podstawie danych sygnałowych z wielu wież, umieszczając użytkownika na małym obszarze geograficznym."

The Citizen Lab zauważyło, że ich teoria jest spekulatywna i "możliwe jest, że dane te są zbierane oportunistycznie przez aktora, który nie ma dostępu do takich informacji sieci komórkowej."

Zmodyfikowana wersja KaKaoTalk ma wiele podejrzanych cech: używa sfałszowanego certyfikatu i prosi o dodatkowe uprawnienia do uruchomienia urządzenie z systemem Android. Urządzenia z systemem Android zazwyczaj zabraniają instalowania aplikacji spoza sklepu Google Play, ale środki bezpieczeństwa mogą być wyłączone.

Jeśli użytkownicy zostaną nakłonieni do przyznania dodatkowych uprawnień, aplikacja zostanie uruchomiona. Citizen Lab zauważa, że ​​Tybetańczycy mogą nie mieć dostępu do Google Play i muszą instalować aplikacje hostowane gdzie indziej, co stawia ich na wyższym ryzyku.

Citizen Lab przetestowało zmodyfikowaną wersję KaKaoTalk przeciwko trzem mobilnym skanerom antywirusowym stworzonym przez Lookout Mobile Security, Avast i Kaspersky Lab w dniach 6 i 27 marca. Żaden z produktów nie wykrył złośliwego oprogramowania.

Citizen Lab napisał, że odkrycie pokazuje, że ci, którzy są celem społeczności tybetańskiej, szybko zmieniają swoją taktykę.

Jak tylko dyskusje się rozpoczęły aby odejść od WeChat, agresorzy "wykorzystali tę zmianę, powielając prawowitą wiadomość i produkując złośliwą wersję aplikacji rozpowszechnianej jako możliwą alternatywę" - napisano w Citizen Lab.