Android üzenetkezelő rosszindulatú célok tibeti aktivisták

Az Android kémprogramok egy kiemelkedő tibeti politikai alakulását célzó elemzés azt sugallja, hogy fel lehetne építeni az áldozat pontos elhelyezkedését.

A Torontói Egyetem Citizen Lab A Globális Ügyek Munk Iskola része egy olyan folyamatban lévő projektnek, amely megvizsgálja, hogy a tibeti közösség továbbra is kifinomult cyberspiritív kampányokat célozza meg.

A Citizen Lab egy januári tibeti forrásból származó KaKaoTalk alkalmazásból vett minta szerint a bloghoz. A dél-koreai cég által gyártott KaKaoTalk egy üzenetküldő alkalmazás, amely lehetővé teszi a felhasználók számára a fényképek, videók és elérhetőségi adatok cseréjét.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

Az alkalmazás beérkezett Janra 16 "a tibeti közösség magas rangú politikai alakja révén" - írta Citizen Lab. De az e-mailt úgy alakították ki, mintha egy olyan információbiztonsági szakértőből jött volna, aki decemberben kapcsolatba lépett a tibeti alakzattal.

Abban az időben a biztonsági szakértő elküldte a tibeti aktivistának a KaKaoTalk Android-alkalmazáscsomagjának legitim változatát Fájl (APK) alternatívájaként a WeChat, egy másik csevegő kliens használatának alternatívájaként, a WeChat kommunikáció felügyeletére használt biztonsági aggályok miatt.

De a KaKaoTalk for Android verzióját módosították az áldozatok kapcsolatainak, SMS-eknek és mobilnak telefonhálózat konfigurációját, és elküldi azt egy távoli kiszolgálónak, amelyet a Baidu, a kínai portál és a keresőmotor utánoztak létre.

A malware képes olyan adatok rögzítésére, mint a bázisállomás azonosítója, a toronyazonosító, a mobil hálózati kód és a körzetszám, a Citizen Lab mondta. Ez az információ általában nem sok olyan eszköz, amelyet a csalók vagy a személyazonosság-lopás elhárítására próbálnak átverni.

De hasznos egy olyan támadó számára, amely hozzáfér a mobil kommunikációs szolgáltató műszaki infrastruktúrájához.

"Szinte biztosan amely a mobilszolgáltató által a lehallgatás kezdeményezéséhez szükséges, amelyet gyakran "csapdák és nyomok" -nak neveznek ", írta Citizen Lab. "A színészek ezen a szinten is hozzáférhetnek a több toronyból származó jeladatok alapján a rádiófrekvenciás trianguláció elvégzéséhez szükséges adatokhoz, a felhasználónak egy kis földrajzi területen belül."

A Citizen Lab megjegyezte, hogy elméletük spekulatív és hogy "lehetséges, hogy ezt az adatot opportunista módon gyűjtik egy olyan szereplő, aki nem fér hozzá ilyen mobilhálózati információhoz."

A KaKaoTalk szabotázsos verziójának számos gyanús tulajdonsága van: hamisított tanúsítványt használ és további engedélyeket kér futtatásra egy Android-eszköz. Az Android-eszközök általában tiltják a Google Play-bolton kívüli alkalmazások telepítését, de a biztonsági elővigyázatosság kikapcsolható.

Ha a felhasználókat extra jogokkal bízzák meg, az alkalmazás fut. A Citizen Lab megjegyzi, hogy a tibetiek nem férhetnek hozzá a Google Play áruházához, és telepíteniük kell máshol tárolt alkalmazásokat, ami nagyobb kockázatot jelent.

A Citizen Lab tesztelte a KaKaoTalk szabotázsos verzióját a Lookout Mobile Security által készített három mobil vírusirtó szkenner ellen, Az Avast és a Kaspersky Lab február 6-án és március 27-én. A termékek nem észlelték a rosszindulatú programokat.

A Citizen Lab azt írta, hogy a megállapítás azt mutatja, hogy a tibeti közösségre irányulók gyorsan változtatják meg taktikájukat. hogy a WeChat-től távolodjanak, a támadók "kihasználták ezt a változást, megismételték a legitim üzenetet és egy lehetséges alkalmazás alternatívájaként elterjesztették az alkalmazás rosszindulatú változatát" - írta Citizen Lab.