Android-berichten Malware doelen Tibetaanse activisten

Een analyse van een stuk Android-spyware gericht tegen een prominente Tibetaanse politieke figuur suggereert dat het mogelijk is gebouwd om de precieze locatie van het slachtoffer te achterhalen.

Het onderzoek, uitgevoerd door het Citizen Lab aan de Universiteit van Toronto Munk School of Global Affairs, maakt deel uit van een lopend project dat onderzoekt hoe de Tibetaanse gemeenschap het doelwit blijft van geavanceerde cyberspying-campagnes. Citizen Lab heeft in januari een voorbeeld van een applicatie met de naam KaKaoTalk verkregen van een Tibetaanse bron, volgens naar zijn blog. KaKaoTalk, gemaakt door een Zuid-Koreaans bedrijf, is een berichtentoepassing waarmee gebruikers foto's, video's en contactgegevens kunnen uitwisselen.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

De applicatie is ontvangen op Jan 16 via e-mail door een 'prominente politieke figuur in de Tibetaanse gemeenschap', schreef Citizen Lab. Maar de e-mail was vervalst om eruit te zien alsof deze afkomstig was van een informatiebeveiligingsdeskundige die eerder contact had gehad met de Tibetaanse figuur in december.

In die tijd had de beveiligingsexpert de Tibetaanse activist een legitieme versie van KaKaoTalk's Android Application Package gestuurd Bestand (APK) als een alternatief voor het gebruik van WeChat, een andere chatclient, vanwege veiligheidsoverwegingen die WeChat zou kunnen gebruiken om communicatie te controleren.

Maar de versie van KaKaoTalk voor Android was aangepast om de contacten, sms'en en mobiele apparaten van het slachtoffer te registreren telefoonnetwerkconfiguratie en verzend deze naar een externe server, die is gemaakt om Baidu, het Chinese portaal en de zoekmachine na te bootsen.

De malware is in staat om informatie op te nemen, zoals de basisstation-ID, tower-ID, mobiele netwerkcode en netnummer van de telefoon, Citizen Lab gezegd. Die informatie is meestal niet erg nuttig voor een oplichter die probeert fraude of identiteitsdiefstal te plegen.

Maar het is nuttig voor een aanvaller die toegang heeft tot de technische infrastructuur van een mobiele-communicatieprovider.

"Het is vrijwel zeker vertegenwoordigt de informatie die een mobiele serviceprovider nodig heeft om afluisteren te starten, vaak 'trap en trace' genoemd, "schreef Citizen Lab. "Acteurs op dit niveau zouden ook toegang hebben tot de gegevens die nodig zijn om radiofrequentietriangulatie uit te voeren op basis van de signaalgegevens van meerdere torens, waardoor de gebruiker in een klein geografisch gebied wordt geplaatst."

Het Citizen Lab merkte op dat hun theorie speculatief en dat "het mogelijk is dat deze gegevens opportunistisch worden verzameld door een acteur zonder toegang tot dergelijke mobiele netwerkinformatie."

De geknoeide versie van KaKaoTalk heeft veel verdachte kenmerken: het gebruikt een vervalst certificaat en vraagt ​​om extra rechten om op te draaien een Android-apparaat. Android-apparaten verbieden doorgaans het installeren van applicaties van buiten de Play Store van Google, maar beveiligingsmaatregelen kunnen worden uitgeschakeld.

Als gebruikers worden misleid om extra rechten toe te kennen, wordt de toepassing uitgevoerd. Citizen Lab merkt op dat Tibetanen mogelijk geen toegang hebben tot Google's Play Store en applicaties elders moeten installeren, waardoor ze een groter risico lopen.

Citizen Lab heeft de geknoei met KaKaoTalk getest op drie mobiele antivirusscanners van Lookout Mobile Security, Avast en Kaspersky Lab op 6 februari en 27 maart. Geen van de producten heeft de malware gedetecteerd. Citizen Lab schreef dat de bevinding aantoont dat degenen die de Tibetaanse gemeenschap targeten snel hun tactiek veranderen. Zodra de besprekingen begonnen om weg te gaan van WeChat maakten de aanvallers gebruik van deze verandering, waarbij ze een legitiem bericht dupliceerden en een kwaadaardige versie van een applicatie produceerden die als mogelijk alternatief werd verspreid, "schreef Citizen Lab.