Phần mềm độc hại tin nhắn Android nhắm vào các nhà hoạt động Tây Tạng

Một phân tích về một phần mềm gián điệp nhắm vào một nhân vật chính trị Tây Tạng nổi bật cho thấy nó có thể đã được xây dựng để tìm ra vị trí chính xác của nạn nhân.

Nghiên cứu được thực hiện bởi Phòng thí nghiệm công dân tại Đại học Toronto

Citizen Lab lấy mẫu của một ứng dụng gọi là KaKaoTalk từ một nguồn tiếng Tây Tạng vào tháng Giêng, theo như thế nào. vào blog của nó. KaKaoTalk, được thực hiện bởi một công ty Hàn Quốc, là ứng dụng nhắn tin cho phép người dùng trao đổi hình ảnh, video và thông tin liên lạc.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi máy tính Windows của bạn]

Ứng dụng đã nhận được vào Jan 16 thông qua email của một "nhân vật chính trị cao trong cộng đồng Tây Tạng," Citizen Lab đã viết. Nhưng email được giả mạo trông giống như nó đến từ một chuyên gia bảo mật thông tin, người đã liên lạc trước đó với người Tây Tạng vào tháng 12.

Vào thời điểm đó, chuyên gia an ninh đã gửi cho nhà hoạt động Tây Tạng một phiên bản hợp pháp của Gói ứng dụng Android của KaKaoTalk Tệp (APK) thay thế cho việc sử dụng WeChat, một ứng dụng trò chuyện khác, do những lo ngại về bảo mật mà WeChat có thể được sử dụng để giám sát thông tin.

Nhưng phiên bản KaKaoTalk cho Android đã được sửa đổi để ghi lại địa chỉ liên hệ, SMS và di động của nạn nhân Cấu hình mạng điện thoại và truyền nó đến một máy chủ từ xa, được tạo ra để bắt chước Baidu, cổng thông tin và công cụ tìm kiếm Trung Quốc.

Phần mềm độc hại có khả năng ghi lại thông tin như ID trạm cơ sở, ID tháp, mã mạng di động và mã vùng của điện thoại, Citizen Lab cho biết. Thông tin đó thường không được sử dụng nhiều đối với kẻ lừa đảo đang cố gắng loại bỏ gian lận hoặc trộm danh tính.

Nhưng nó rất hữu ích cho kẻ tấn công có quyền truy cập vào cơ sở hạ tầng kỹ thuật của nhà cung cấp dịch vụ di động.

đại diện cho thông tin mà một nhà cung cấp dịch vụ di động yêu cầu để bắt đầu nghe lén, thường được gọi là 'bẫy và dấu vết', ”Citizen Lab viết. “Các diễn viên ở cấp độ này cũng sẽ có quyền truy cập dữ liệu cần thiết để thực hiện tam giác tần số vô tuyến dựa trên dữ liệu tín hiệu từ nhiều tháp, đặt người dùng trong một khu vực địa lý nhỏ.”

Phòng thí nghiệm công dân lưu ý rằng lý thuyết của họ là đầu cơ và "

Phiên bản giả mạo của KaKaoTalk có nhiều đặc điểm đáng ngờ: nó sử dụng chứng chỉ giả mạo và yêu cầu thêm quyền để chạy trên một thiết bị Android. Các thiết bị Android thường cấm cài đặt các ứng dụng từ bên ngoài cửa hàng Play của Google, nhưng biện pháp phòng ngừa an ninh đó có thể bị vô hiệu hóa.

Nếu người dùng bị lừa cấp thêm quyền, ứng dụng sẽ chạy. Citizen Lab lưu ý rằng người Tây Tạng có thể không có quyền truy cập vào cửa hàng Play của Google và phải cài đặt các ứng dụng được lưu trữ ở nơi khác, điều này khiến họ có nguy cơ cao hơn.

Citizen Lab đã thử nghiệm phiên bản KaKaoTalk giả mạo chống lại ba máy quét chống vi-rút di động do Lookout Mobile Security thực hiện, Avast và Kaspersky Lab vào ngày 6/2 và 27/3. Không có sản phẩm nào phát hiện phần mềm độc hại.

Citizen Lab viết rằng phát hiện cho thấy những người đang nhắm vào cộng đồng Tây Tạng nhanh chóng thay đổi chiến thuật của họ. để di chuyển khỏi WeChat, những kẻ tấn công “tận dụng sự thay đổi này, nhân bản một thông điệp hợp pháp và tạo ra một phiên bản độc hại của một ứng dụng đang được lưu hành như một sự thay thế có thể,” Citizen Lab viết.