Android-viestien haittaohjelmatavoitteet Tiibetiläiset aktivistit

Analyysin paljastava Android-vakoiluohjelma, joka kohdistuu merkittävään tiibetiläiseen poliittiseen hahmoon, viittaa siihen, että se on ehkä rakennettu selvittämään uhrin tarkka sijainti.

Toronton yliopiston Citizen Lab Munk School of Global Affairs on osa meneillään olevaa projektia, joka tutkii, miten tiibetiläinen yhteisö on edelleen kohdennettu hienostuneiden verkkoutumiskampanjoiden avulla.

Citizen Lab hankki tammikuussa Tiibetin lähteestä KaKaoTalk-sovelluksen blogiinsa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Hakemus on vastaanotettu tammikuuhun mennessä. KaKaoTalk on Etelä-Korean yritys, joka on lähettänyt viestiliikenteen, jonka avulla käyttäjät voivat vaihtaa valokuvia, videoita ja yhteystietoja. 16 "Tiibetiläisen yhteisön korkean profiilin poliitikon kautta", Citizen Lab kirjoitti. Mutta sähköpostiin oli väärennetty näyttää olevan tietoturvaasiantuntija, joka oli aiemmin kontaktissa tiibetiläisen henkilön kanssa joulukuussa.

Tuolloin turvallisuusasiantuntija oli lähettänyt tiibetiläiselle aktivistille laillisen version KaKaoTalkin Android-sovelluspaketista Tiedosto (APK) vaihtoehtona WeChatin, toisen chat-asiakkaan, käyttämiselle turvallisuusongelmista, joita WeChatin avulla voitaisiin seurata viestintää.

Mutta KaKaoTalk for Android -versiota oli muokattu rekisteriksi uhrin kontakteista, tekstiviesteistä ja matkapuhelimesta puhelinverkon kokoonpano ja välittää se etäpalvelimelle, joka on luotu jäljittelemään Baidu, Kiinan portaali ja hakukone.

Haittaohjelma pystyy tallentamaan tietoja, kuten tukiaseman ID, torni-ID, matkapuhelinverkon koodi ja puhelinnumero, Citizen Lab sanoi.

Mutta se on hyödyllistä hyökkääjälle, jolla on pääsy matkaviestinoperaattorin tekniseen infrastruktuuriin.

"Se on melkein varmasti hyödyllistä hyökkääjälle, jolla on pääsy matkaviestinoperaattorin tekniseen infrastruktuuriin. edustaa tietoja, joita solukkopalvelun tarjoajan on aloitettava salakuuntelu, jota usein kutsutaan "ansaksi ja jäljitykseksi", Citizen Lab kirjoitti. "Tämän tason toimijoilla olisi myös käytettävissään tiedot, jotka tarvitaan radiotaajuisen triangulaation suorittamiseen useiden tornien signaalitiedoista, asettaen käyttäjän pieneen maantieteelliseen alueeseen."

Citizen Lab huomautti, että niiden teoria on spekulatiivinen ja että "on mahdollista, että kyseistä tietoa kerätään opportunistisesti sellaisen toimijan kanssa, jolla ei ole pääsyä tällaisiin matkapuhelinverkkotietoihin."

KaKaoTalkin vääristyneellä versiolla on monia epäilyttäviä piirteitä: se käyttää väärennettyä todistusta ja pyytää ylimääräisiä käyttöoikeuksia Android-laite. Android-laitteet estävät yleensä sovellusten asentamisen Googlen Play-kaupasta, mutta tietoturva voidaan estää.

Jos käyttäjää petetään antamaan ylimääräisiä käyttöoikeuksia, sovellus ajetaan. Citizen Lab huomauttaa, että tiibetilällöillä ei ehkä ole pääsyä Googlen Play-kauppaan ja että heidän on asennettava muualle isännöimäsi sovelluksia, mikä asettaa heidät suurempaan riskiin.

Citizen Lab testasi KaKaoTalkin vääristynyttä versiota kolmea Mobile Anti-Virus -tekniikan skannausta vastaan, Citizen Lab kirjoitti, että löydökset osoittavat, että ne, jotka pyrkivät tiibetiläiseen yhteisöön, vaihtavat nopeasti taktiikoitaan.

Heti kun keskustelut alkoivat siirtymään WeChatista, hyökkääjät "hyödynsivät tätä muutosta, kopioivat laillisen viestin ja tuottavat haitallisen version sovelluksesta, jota kierrätetään mahdollisena vaihtoehtona", Citizen Lab kirjoitti.