Tibetští aktivisté

Analýza spywaru Android zaměřeného na významnou tibetskou politickou postavu naznačuje, že mohla být postavena, aby zjistila, přesné umístění.

Analýza spywaru Android zaměřeného na významnou tibetskou politickou osobnost naznačuje, že může být postavena tak, aby zjistila přesnou polohu oběti.

Výzkum, který provedl Citizen Lab na univerzitě v Torontu Munk School of Global Affairs, je součástí probíhajícího projektu, který se zabývá tím, jak se tibetská komunita i nadále zaměřuje na sofistikované cyberspyingové kampaně.

Citizen Lab obdržel v lednu vzorku aplikace s názvem KaKaoTalk z tibetského zdroje. na svůj blog. KaKaoTalk, vytvořený jihokorejskou společností, je aplikace pro zasílání zpráv, která také umožňuje uživatelům vyměňovat fotografie, videa a kontaktní informace.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

16 prostřednictvím e-mailu "vysoce profilové politické osobnosti v tibetské komunitě", napsal Citizen Lab. Ale e-mail byl zfalšován, aby vypadal, jako by to přišlo od odborníka na bezpečnost informací, který měl v prosinci kontakt s tibetskou osobností.

V té době bezpečnostní expert poslal tibetskému aktivistovi legitimní verzi Aplikačního balíčku pro Android společnosti KaKaoTalk Soubor (APK) jako alternativa k použití WeChat, dalšího chatového klienta, kvůli obavám o bezpečnost, že WeChat lze použít k monitorování komunikace.

Ale verze KaKaoTalk pro Android byla upravena tak, aby zaznamenávala kontakty, SMS a mobilní telefony konfiguraci telefonní sítě a přenášet ji na vzdálený server, který byl vytvořen tak, aby napodoboval Baidu, čínský portál a vyhledávač.

Malware je schopen zaznamenávat informace jako ID základny, ID věže, kód mobilní sítě a oblastní kód telefonu, uvedl Citizen Lab. Tyto informace obvykle nejsou pro scammera, který se snaží vyhnout se podvodům nebo krádežím totožnosti.

Je však užitečné pro útočníka, který má přístup k technické infrastruktuře poskytovatele mobilní komunikace. představuje informace, které poskytovatel celulární služby vyžaduje, aby zahájil odposlouchávání, často označovaný jako "trap a trasování", "napsal Citizen Lab. "Aktéři na této úrovni by měli také přístup k údajům potřebným k provádění radiofrekvenční triangulace na základě datových signálů z více věží, čímž se uživatel umístí do malé zeměpisné oblasti."

Citizen Lab poznamenal, že jejich teorie je spekulativní a že "je možné, že tato data jsou příležitostně shromažďována hercem bez přístupu k takovým informacím o celulární síti."

Tamperovaná verze KaKaoTalk má mnoho podezřelých vlastností: používá padělaný certifikát a žádá o další povolení ke spuštění zařízení Android. Aplikace Android obvykle zakazují instalaci aplikací z jiných obchodů Google Play, ale tato bezpečnostní opatření mohou být zakázána.

Pokud uživatelé budou podvedeni k udělení dalších oprávnění, aplikace bude spuštěna. Citizen Lab konstatuje, že Tibeťané pravděpodobně nemají přístup do obchodu Google Play a musí instalovat aplikace hostované jinde, čímž je vystavují vyššímu riziku.

Citizen Lab testoval zablokovanou verzi KaKaoTalk proti třech mobilním antivirovým skenerům, které provedla společnost Lookout Mobile Security, Avast a Kaspersky Lab 6. února a 27. března. Žádný z produktů nezjistil malware

Citizen Lab napsal, že zjištění ukazuje, že ti, kteří se zaměřují na tibetskou komunitu, rychle mění svou taktiku

k odchodu od WeChat, útočníci "využili tuto změnu, kopírovali legitimní zprávu a vytvořili škodlivou verzi aplikace, která se šíří jako možná alternativa," napsal Citizen Lab