Zlonamjerni programi za razmjenu poruka s Androidom tibetanski aktivisti

Analiza dijela Android spywarea koji cilja istaknutu tibetansku političku figuru sugerira da je možda izgrađen kako bi se utvrdilo točno mjesto žrtve.

Istraživanje koje je proveo Citizen Lab na Sveučilištu u Torontu Radna škola za globalne poslove dio je tekućeg projekta koji traži kako Tibetanska zajednica i dalje bude usmjerena sofisticiranim kampanjama u cyberspedija.

Citizen Lab dobiva uzorak aplikacije zvane KaKaoTalk iz tibetanskog izvora u siječnju, prema na svoj blog.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Aplikacija je primljena u siječnju 16 putem e-pošte "visoke političke figure u tibetanskoj zajednici", napisao je Citizen Lab. No, e-poruka je bila krivotvorena da izgleda kao da je došao od stručnjaka za informacijsku sigurnost koji je imao prethodni kontakt s tibetanskim likom u prosincu.

U to je vrijeme stručnjak za sigurnost poslao tibetanskog aktivista legitimnu verziju aplikacije Android aplikacija KaKaoTalk (APK) kao alternativu korištenju WeChat, drugog klijenta za chat, zbog sigurnosnih problema koje WeChat može koristiti za praćenje komunikacije.

Ali verzija KaKaoTalk za Android izmijenjena je kako bi snimila žrtve kontakte, SMS i mobilne konfiguracije mreže telefona i poslati ga na udaljeni poslužitelj koji je stvoren da bi oponašao Baidu, kineski portal i tražilicu.

Zlonamjerni softver može snimati informacije kao što su ID bazne stanice, ID toranj, šifra mobilne mreže i pozivni broj telefona, rekao je Citizen Lab. Ta informacija obično ne koristi mnogo prevara koji pokušava ukloniti prijevare ili krađu identiteta. Međutim, korisno je napadaču koji ima pristup tehničkoj infrastrukturi davatelja mobilnih komunikacija.

"To je gotovo sigurno predstavlja podatke koje mobilni davatelj usluga zahtijeva za pokretanje prisluškivanja, često se naziva "zamka i trag", napisao je Citizen Lab. "Glumci na ovoj razini također bi imali pristup podacima koji su potrebni za obavljanje radiofrekvencijske triangulacije na temelju podataka signala iz višestrukih tornjeva, stavljajući korisnika u mali geografski prostor."

Citizen Lab istaknuo je da je njihova teorija spekulativna i da je "moguće je da ovi podaci dobivaju oportunistički od strane glumca bez pristupa takvim informacijama o mobilnoj mreži."

Varalica Varalice ima mnoge sumnjive osobine: koristi krivotvorenu potvrdu i traži dodatna dopuštenja za pokretanje Android uređaj. Uređaji sa sustavom Android obično zabranjuju instaliranje aplikacija izvan trgovine Google Play, ali ta se sigurnosna mjera može onemogućiti.

Ako se korisnici zanima za dodavanje dopuštenja, aplikacija će se pokrenuti. Citizen Lab bilježi da Tibetanci možda nemaju pristup Googleovoj trgovini Play i moraju instalirati programe hostirane negdje drugdje, što ih stavlja pod veći rizik.

Citizen Lab testirala je neovlaštenu verziju KaKaoTalka protiv tri mobilna antivirusna skenera tvrtke Lookout Mobile Security, Avast i Kaspersky Lab 6. veljače i 27. ožujka. Nijedan od tih proizvoda nije otkrio zlonamjerni softver.

Citizen Lab je napisao da nalaz pokazuje da oni koji ciljaju tibetansku zajednicu brzo mijenjaju taktiku.

Čim su započele rasprave da se odmaknu od WeChat, napadači su "iskoristili ovu promjenu, duplicirajući legitimnu poruku i stvorili zlonamjernu verziju aplikacije koja se kruži kao moguća alternativa", napisao je Citizen Lab.