Android-Messaging-Malware zielt auf tibetische Aktivisten ab

Eine Analyse eines Teils von Android-Spyware, die auf eine prominente tibetische politische Figur abzielt, deutet darauf hin, dass sie möglicherweise konstruiert wurde, um den genauen Ort des Opfers herauszufinden.

Die Untersuchung wurde vom Citizen Lab an der Universität von Toronto durchgeführt Munk School of Global Affairs, ist Teil eines laufenden Projekts, das untersucht, wie die tibetische Gemeinschaft weiterhin durch ausgeklügelte Cyberspying-Kampagnen ins Visier genommen wird.

Citizen Lab erhielt im Januar eine Probe einer Anwendung namens KaKaoTalk aus einer tibetischen Quelle zu seinem Blog. KaKaoTalk, von einem südkoreanischen Unternehmen hergestellt, ist eine Messaging-Anwendung, mit der Benutzer Fotos, Videos und Kontaktinformationen austauschen können.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Die Anwendung wurde am Jan empfangen 16 durch E-Mail von einer "hochrangigen politischen Figur in der tibetischen Gemeinschaft", schrieb Citizen Lab. Aber die E-Mail wurde gefälscht, als ob sie von einem Informationssicherheitsexperten stammte, der im Dezember Kontakt mit der tibetischen Figur hatte.

Zu ​​dieser Zeit hatte der Sicherheitsexperte dem tibetischen Aktivisten eine legitime Version des Android Application Package von KaKaoTalk geschickt Datei (APK) als Alternative zur Verwendung von WeChat, einem anderen Chat-Client, aufgrund von Sicherheitsbedenken, dass WeChat zur Überwachung der Kommunikation verwendet werden könnte.

Die Version von KaKaoTalk für Android wurde jedoch modifiziert, um die Kontakte, SMS und Mobilgeräte eines Opfers aufzuzeichnen Telefonnetzkonfiguration und Übertragung an einen entfernten Server, der erstellt wurde, um Baidu, das chinesische Portal und die Suchmaschine nachzubilden.

Die Malware ist in der Lage, Informationen wie die Basisstation ID, Tower ID, Mobilfunkcode und Vorwahl des Telefons, sagte Citizen Lab. Diese Informationen sind normalerweise für einen Betrüger, der versucht, Betrügereien oder Identitätsdiebstahl durchzuführen, nicht von großem Nutzen.

Aber es ist nützlich für einen Angreifer, der Zugriff auf die technische Infrastruktur eines Mobilfunkanbieters hat.

"Es ist fast sicher stellt die Informationen dar, die ein Mobilfunkanbieter benötigt, um Lauschangriffe einzuleiten, die oft als "Trap and Trace" bezeichnet werden ", schrieb Citizen Lab. "Akteure auf dieser Ebene hätten auch Zugang zu den Daten, die zur Durchführung der Radiofrequenz-Triangulation auf der Grundlage der Signaldaten von mehreren Türmen erforderlich sind, wodurch der Benutzer innerhalb eines kleinen geografischen Gebiets platziert wird."

Das Citizen Lab hat festgestellt, dass ihre Theorie spekulativ ist dass "es möglich ist, dass diese Daten opportunistisch von einem Akteur ohne Zugang zu solchen Mobilfunknetzinformationen gesammelt werden."

Die manipulierte Version von KaKaoTalk weist viele verdächtige Merkmale auf: Sie verwendet ein gefälschtes Zertifikat und fordert zusätzliche Berechtigungen zum Ausführen an ein Android-Gerät. Android-Geräte verbieten normalerweise die Installation von Anwendungen außerhalb des Play Store von Google. Diese Sicherheitsmaßnahme kann jedoch deaktiviert werden.

Wenn Benutzer dazu verleitet werden, zusätzliche Berechtigungen zu erteilen, wird die Anwendung ausgeführt. Das Citizen Lab weist darauf hin, dass Tibeter möglicherweise keinen Zugriff auf Googles Play Store haben und an anderer Stelle gehostete Anwendungen installieren müssen, wodurch sie einem höheren Risiko ausgesetzt sind.

Citizen Lab hat die manipulierte Version von KaKaoTalk mit drei mobilen Antivirenscannern von Lookout Mobile Security getestet. Avest und Kaspersky Lab am 6. und 27. März. Keines der Produkte erkannte die Malware.

Das Citizen Lab schrieb, dass die Ergebnisse zeigen, dass diejenigen, die die tibetische Gemeinschaft ins Visier nehmen, ihre Taktik schnell ändern.

Sobald die Diskussionen begannen Um sich von WeChat zu entfernen, nutzten die Angreifer diese Änderung, indem sie eine legitime Nachricht duplizierten und eine bösartige Version einer Anwendung als mögliche Alternative in Umlauf brachten, schrieb Citizen Lab.