Malware-urile pentru mesajele Android vizează țintiții tibetani

O analiză a unei piese de spyware Android care vizează o figură politică tibetană proeminentă sugerează că poate fi construită pentru a descoperi locația exactă a victimei.

Cercetarea realizată de Laboratorul Citizen de la Universitatea din Toronto Munk School of Global Affairs, face parte dintr-un proiect în curs de desfășurare care analizează modul în care comunitatea tibetană continuă să fie vizată de campaniile sofisticate de cibernetică.

Citizen Lab a obținut un eșantion de aplicație numită KaKaoTalk dintr-o sursă tibetană în ianuarie, conform la blogul său. KaKaoTalk, produs de o companie sud-coreeană, este o aplicație de mesagerie care permite, de asemenea, utilizatorilor să facă schimb de fotografii, videoclipuri și informații de contact.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

16 prin e-mail de către o "figură politică de înaltă calitate în comunitatea tibetană", a scris Citizen Lab. Dar e-mailul a fost falsificat ca să vină de la un expert în securitatea informațiilor care a avut contact anterior cu figura tibetană în decembrie.

În acel moment, expertul în securitate trimisese activistului tibetan o versiune legitimă a pachetului de aplicații Android al KaKaoTalk Fișierul (APK) ca o alternativă la utilizarea WeChat, un alt client de chat, din cauza preocupărilor legate de securitate că WeChat ar putea fi folosit pentru a monitoriza comunicațiile.

Versiunea KaKaoTalk pentru Android a fost modificată pentru a înregistra contactele, SMS-urile și mobilul configurarea rețelei telefonice și transmiterea acestuia către un server la distanță, care a fost creat pentru a imita Baidu, portalul chinez și motorul de căutare.

Malware-ul este capabil să înregistreze informații precum ID-ul stației de bază, ID-ul turnului, codul din zona telefonului, Citizen Lab a spus. Aceste informații nu sunt, de obicei, de mare folos pentru un escroc care încearcă să elimine fraude sau furt de identitate.

Dar este util pentru un atacator care are acces la infrastructura tehnică a furnizorului de comunicații mobile. reprezintă informațiile pe care un furnizor de servicii celulare cere să le inițieze, cum ar fi "trap și trace", a scris Citizen Lab. "Actorii de la acest nivel ar avea, de asemenea, acces la datele necesare pentru a efectua triangularea frecvențelor radio pe baza datelor semnalului de la mai multe turnuri, plasând utilizatorul într-o mică zonă geografică."

Citizen Lab a remarcat că teoria lor este speculativă că "este posibil ca aceste date să fie colectate oportunist de către un actor fără acces la astfel de informații de rețea celulară."

Versiunea manipulată a KaKaoTalk are multe trăsături suspecte: utilizează un certificat fals și solicită permisiuni suplimentare pentru a rula un dispozitiv Android. Dispozitivele Android interzic, de obicei, instalarea de aplicații din afara magazinului Google Play, dar această măsură de precauție poate fi dezactivată.

Dacă utilizatorii sunt înșelători pentru a acorda permisiuni suplimentare, aplicația va fi difuzată. Citizen Lab notează că tibetanii nu au acces la magazinul Google Play și trebuie să instaleze aplicații găzduite în altă parte, ceea ce le pune la un risc mai mare.

Citizen Lab a testat versiunea modificată KaKaoTalk împotriva a trei scanere antivirus mobile făcute de Lookout Mobile Security, Avast și Kaspersky Lab pe 6 februarie și pe 27 martie. Nici unul dintre produse nu a detectat malware-ul

Citizen Lab a scris că descoperirea arată că cei care vizează comunitatea tibetană își schimbă rapid tactica. pentru a se îndepărta de WeChat, atacatorii "au contribuit la această schimbare, duplicând un mesaj legitim și producând o versiune rău intenționată a unei aplicații care a circulat ca o alternativă posibilă", a scris Citizen Lab.