Τα κακόβουλα μηνύματα για το Android απευθύνονται στους Θιβετιανούς ακτιβιστές

Η ανάλυση ενός κομμάτι του spyware Android που στοχεύει σε εξέχοντα θιβετιανό πολιτικό σχήμα υποδηλώνει ότι μπορεί να έχει κατασκευαστεί για να υπολογίσει την ακριβή τοποθεσία του θύματος.

Η έρευνα που διεξήγαγε το Citizen Lab στο Πανεπιστήμιο του Τορόντο Munk School of Global Affairs, αποτελεί μέρος ενός συνεχιζόμενου προγράμματος που εξετάζει τον τρόπο με τον οποίο η θιβετιανή κοινότητα συνεχίζει να στοχεύεται από εξειδικευμένες εκστρατείες για την καταπολέμηση του κυβερνοχώρου.

Το Citizen Lab έλαβε δείγμα μιας εφαρμογής που ονομάζεται KaKaoTalk από θιβετιανή πηγή τον Ιανουάριο, στο ιστολόγιό της. Το KaKaoTalk, από μια εταιρεία της Νότιας Κορέας, είναι μια εφαρμογή ανταλλαγής μηνυμάτων που επιτρέπει επίσης στους χρήστες να ανταλλάσσουν φωτογραφίες, βίντεο και πληροφορίες επικοινωνίας.

[Περισσότερες πληροφορίες: Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας Windows]

16 μέσω μηνύματος ηλεκτρονικού ταχυδρομείου από "πολιτικό προσωπικό υψηλού προφίλ στην κοινότητα του Θιβέτ", έγραψε το Citizen Lab. Αλλά το ηλεκτρονικό ταχυδρομείο ήταν σφυρηλατημένο για να μοιάζει με το ότι είχε έρθει από έναν εμπειρογνώμονα ασφάλειας πληροφοριών που είχε προηγούμενη επαφή με τη θιβετιανή φιγούρα τον Δεκέμβριο.

Την εποχή εκείνη, ο εμπειρογνώμονας ασφαλείας είχε στείλει στον θιβετιανό ακτιβιστή μια νόμιμη έκδοση του πακέτου εφαρμογής του KaKaoTalk Το αρχείο (APK) ως εναλλακτική λύση στη χρήση του WeChat, ενός άλλου πελάτη συνομιλίας, λόγω ανησυχιών για την ασφάλεια ότι το WeChat θα μπορούσε να χρησιμοποιηθεί για την παρακολούθηση των επικοινωνιών.

Αλλά η έκδοση του KaKaoTalk για Android είχε τροποποιηθεί για να καταγράψει τις επαφές των SMS, τη διαμόρφωση του τηλεφωνικού δικτύου και τη διαβίβασή του σε έναν απομακρυσμένο διακομιστή, ο οποίος είχε δημιουργηθεί για να μιμείται την κινεζική πύλη και τη μηχανή αναζήτησης Baidu.

Το κακόβουλο λογισμικό είναι ικανό να καταγράφει πληροφορίες, όπως αναγνωριστικό σταθμού βάσης, αναγνωριστικό πύργου, τον κωδικό περιοχής του τηλεφώνου, Citizen Lab είπε. Αυτές οι πληροφορίες δεν είναι συνήθως χρήσιμες για έναν απατεώνα που προσπαθεί να αποφύγει τις απάτες ή την κλοπή ταυτότητας.

Αλλά είναι χρήσιμο για έναν εισβολέα που έχει πρόσβαση σε μια τεχνική υποδομή ενός παρόχου κινητής επικοινωνίας. αντιπροσωπεύει τις πληροφορίες που ένας φορέας παροχής υπηρεσιών κινητής τηλεφωνίας απαιτεί να ξεκινήσει την παρακολούθηση, συχνά αναφέρεται ως «παγίδα και ίχνος», έγραψε το Citizen Lab. "Οι ηθοποιοί σε αυτό το επίπεδο θα έχουν επίσης πρόσβαση στα δεδομένα που απαιτούνται για την εκτέλεση τριγωνισμού ραδιοσυχνοτήτων με βάση τα δεδομένα σήματος από πολλούς πύργους, τοποθετώντας τον χρήστη σε μια μικρή γεωγραφική περιοχή."

Το Citizen Lab σημείωσε ότι η θεωρία τους είναι κερδοσκοπική και ότι "αυτά τα δεδομένα συλλέγονται ευκαιριακά από έναν ηθοποιό χωρίς πρόσβαση σε τέτοιες πληροφορίες κυψελοειδούς δικτύου."

Η παραβιαζόμενη έκδοση του KaKaoTalk έχει πολλά ύποπτα χαρακτηριστικά: χρησιμοποιεί πλαστό πιστοποιητικό και ζητά πρόσθετα δικαιώματα για να τρέχει μια συσκευή Android. Οι συσκευές Android συνήθως απαγορεύουν την εγκατάσταση εφαρμογών από το εξωτερικό κατάστημα Play της Google, αλλά η προφύλαξη ασφαλείας μπορεί να απενεργοποιηθεί.

Εάν οι χρήστες παραπλανούνται για τη χορήγηση πρόσθετων αδειών, η εφαρμογή θα εκτελεστεί. Το Citizen Lab επισημαίνει ότι οι Θιβετιανοί ενδέχεται να μην έχουν πρόσβαση στο Play Store της Google και πρέπει να εγκαταστήσουν εφαρμογές που φιλοξενούνται αλλού, γεγονός που τους θέτει σε μεγαλύτερο κίνδυνο.

Το Citizen Lab εξέτασε την παραβιαζόμενη έκδοση του KaKaoTalk έναντι τριών κινητών σαρωτών antivirus από την Lookout Mobile Security, Avast και Kaspersky Lab στις 6 Φεβρουαρίου και στις 27 Μαρτίου. Κανένα από τα προϊόντα δεν ανίχνευσε το κακόβουλο πρόγραμμα

Το Citizen Lab έγραψε ότι το εύρημα δείχνει ότι όσοι απευθύνονται στην κοινότητα του Θιβέτ αλλάζουν γρήγορα την τακτική τους. για να απομακρυνθούμε από το WeChat, οι επιτιθέμενοι "αξιοποίησαν αυτή την αλλαγή, αντιγράφοντας ένα νόμιμο μήνυμα και δημιουργώντας μια κακόβουλη έκδοση μιας εφαρμογής που κυκλοφόρησε ως πιθανή εναλλακτική λύση", γράφει το Citizen Lab