Вредоносная программа для обмена сообщениями Android тибетских активистов

Анализ части шпионских программ Android, нацеленных на видного тибетского политического деятеля, предполагает, что он, возможно, был построен, чтобы выяснить точное местоположение жертвы.

Исследование, проведенное Лабораторией Citizen в Университете Торонто Munk School of Global Affairs, является частью постоянного проекта, в котором рассматривается, как тибетское сообщество продолжает подвергаться нападкам со стороны сложных кампаний по кибер-кампании.

Citizen Lab получила образец заявки под названием KaKaoTalk из тибетского источника в январе, согласно к его блогу. KaKaoTalk, сделанный южнокорейской компанией, является приложением для обмена сообщениями, которое также позволяет пользователям обмениваться фотографиями, видео и контактной информацией.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Приложение было получено в январе 16 по электронной почте «высокопоставленной политической фигурой в тибетской общине», пишет Citizen Lab. Но электронная почта была подделана, чтобы выглядеть так, как будто она исходила от эксперта по информационной безопасности, который в прошлом имел контакт с тибетской фигурой.

В то время эксперт по безопасности послал тибетскому активисту законную версию пакета приложений для Android от KaKaoTalk File (APK) в качестве альтернативы использованию WeChat, другого чат-клиента, из-за проблем с безопасностью, которые WeChat может использовать для мониторинга сообщений.

Но версия KaKaoTalk для Android была изменена для записи контактов, SMS-сообщений и мобильных телефонной сети и передать ее на удаленный сервер, который был создан для имитации Baidu, китайского портала и поисковой системы.

Вредоносная программа способна записывать информацию, такую ​​как идентификатор базовой станции, идентификатор башни, код мобильной сети и телефонный код телефона, сказал Citizen Lab. Эта информация, как правило, не очень полезна для мошенника, который пытается снять мошенничество или кражи личных данных.

Но это полезно для злоумышленника, имеющего доступ к технической инфраструктуре поставщика мобильной связи.

«Это почти наверняка представляет информацию, которую поставщик сотовой связи требует инициировать подслушивание, часто называемую «ловушкой и трассировкой», - пишет Citizen Lab. «Участники этого уровня также будут иметь доступ к данным, необходимым для выполнения триангуляции радиочастот на основе данных сигналов с нескольких башен, помещая пользователя в пределах небольшой географической области».

Лаборатория Citizen отметила, что их теория является спекулятивной и что «возможно, что эти данные собираются оппортунистически актором, не имеющим доступа к такой информации о сотовой сети».

В измененной версии KaKaoTalk есть много подозрительных признаков: он использует поддельный сертификат и запрашивает дополнительные разрешения для запуска Android-устройство. Устройства Android обычно запрещают установку приложений из другого магазина Google Play, но эта защита может быть отключена.

Если пользователи обманываются в предоставлении дополнительных разрешений, приложение будет работать. Citizen Lab отмечает, что тибетцы могут не иметь доступа к магазину Play Play Google и должны устанавливать приложения, размещенные в другом месте, что ставит их в более высокий риск.

Citizen Lab проверила измененную версию KaKaoTalk против трех мобильных антивирусных сканеров, сделанных Lookout Mobile Security, Avast и «Лаборатория Касперского» 6 февраля и 27 марта. Ни один из продуктов не обнаружил вредоносное ПО.

Citizen Lab написала, что находка показывает, что те, кто нацеливаются на тибетское сообщество, быстро меняют свою тактику.

Как только начались дискуссии чтобы отойти от WeChat, злоумышленники «воспользовались этим изменением, дублировали законное сообщение и выпустили вредоносную версию распространяемого приложения в качестве возможной альтернативы», - писал Citizen Lab.