Android mesajlaşmaya kötü amaçlı yazılım hedefleri Tibetli aktivistler

Önemli bir Tibetli siyasi figürü hedefleyen bir Android casus yazılım parçasının analizi, kurbanın tam yerini belirlemek için yapılmış olabileceğini gösteriyor.

Toronto Üniversitesi'nde Citizen Lab tarafından gerçekleştirilen araştırma. Munk Küresel İşler Okulu, Tibet toplumunun sofistike siber kampanyalar tarafından nasıl hedef alınmaya devam ettiğini inceleyen devam eden bir projenin bir parçası.

Citizen Lab, Ocak ayında bir Tibet kaynağından KaKaoTalk adlı bir uygulama örneği aldı. onun bloguna. Güney Koreli bir şirket tarafından yapılan KaKaoTalk, kullanıcıların fotoğraf, video ve iletişim bilgilerini paylaşmalarına olanak tanıyan bir mesajlaşma uygulamasıdır.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Başvuruya Ocak ayında alındı. Citizen Lab, “Tibet toplumunda yüksek profilli bir siyasi figür” e e-posta yoluyla 16 yazdı. Ancak e-posta, Aralık ayında Tibet figürüyle daha önce temas kurmuş olan bir bilgi güvenliği uzmanından gelmiş gibi görünmeye itildi.

O zaman, güvenlik uzmanı, Tibet aktivistine KaKaoTalk'ın Android Uygulama Paketinin meşru bir versiyonunu gönderdi. WeChat'in iletişimi izlemek için kullanabileceği güvenlik endişeleri nedeniyle başka bir sohbet istemcisi olan WeChat'i kullanmanın bir alternatifi olarak Dosya (APK).

Ancak Android için KaKaoTalk sürümü kurbanın iletişim bilgilerini, SMS'lerini ve mobil cihazlarını kaydetmek için değiştirildi. telefon ağ yapılandırması ve Baidu, Çin portalı ve arama motoru taklit etmek için oluşturulmuş bir uzak sunucuya iletir.

Kötü amaçlı yazılım, baz istasyonu kimliği, kule kimliği, mobil ağ kodu gibi bilgileri kaydedebilir Telefonun alan kodu, Citizen Lab söyledi. Bu bilgi genellikle dolandırıcılık veya kimlik hırsızlığı çekmeye çalışan bir dolandırıcılık için çok fazla kullanılmaz.

Ancak, bir mobil iletişim sağlayıcısının teknik altyapısına erişimi olan bir saldırganın yararı vardır.

“Neredeyse kesinlikle Citizen Lab yazdı, bir hücresel servis sağlayıcının genellikle “tuzak ve iz” olarak adlandırılan, dinlemeyi başlatmak için gerekli olan bilgileri temsil ettiği anlamına gelir. “Bu seviyedeki aktörler, aynı zamanda, birden fazla kuleden gelen sinyal verisine dayanarak radyo frekansı üçgenlemesi yapmak için gerekli verilere de erişebiliyor, bu da kullanıcıyı küçük bir coğrafi bölgeye yerleştiriyor.”

Citizen Lab, teorilerinin spekülatif olduğunu ve “bu verilerin bu tür hücresel ağ bilgilerine erişemeyen bir aktör tarafından oportünist bir şekilde toplanması mümkündür.”

KaKaoTalk'un değiştirilmiş sürümü birçok şüpheli özelliğe sahiptir: sahte bir sertifika kullanır ve üzerinde çalışmak için ek izin ister. bir Android cihaz. Android cihazlar genellikle Google'ın Play Store'un dışından uygulama yüklemeyi yasaklar, ancak bu güvenlik önlemi devre dışı bırakılabilir.

Kullanıcılar ek izinler vermeye zorlanırsa uygulama çalışır. Citizen Lab, Tibetlilerin Google'ın Play mağazasına erişemeyebileceğini ve başka bir yerde barındırılan uygulamaların daha yüksek bir riske maruz kalacağını bildiriyor.

Citizen Lab, KaPaoTalk'ın kurcalanmış sürümünü Lookout Mobile Security tarafından yapılan üç adet mobil antivirüs tarayıcısına karşı test etti. Avast ve Kaspersky Lab, 6 Şubat ve 27 Mart'ta. Ürünlerin hiçbiri kötü amaçlı yazılım tespit etmedi.

Citizen Lab, araştırmanın Tibet toplumunu hedef alanların hızla taktiklerini değiştirdiğini gösterdiğini yazdı.

Tartışmalar başladıktan hemen sonra. Citizen Lab, “WeChat'ten uzaklaşmak için, saldırganlar bu değişikliği geliştirdi, meşru bir mesajı çoğaltmak ve olası bir alternatif olarak dağıtılan bir uygulamanın kötü niyetli bir versiyonunu üretmek” diye yazdı.