Malware for Android-meldingsprogrammer rettet mot tibetanske aktivister

En analyse av et stykke Android-spionprogrammer rettet mot en fremtredende tibetansk politisk figur antyder at det kan ha blitt bygget for å finne ut offerets eksakte plassering.

Forskningen, utført av Citizen Lab ved University of Toronto Munk School of Global Affairs, er en del av et pågående prosjekt som ser på hvordan det tibetanske samfunnet fortsetter å bli målrettet av sofistikerte cyberspying-kampanjer.

Citizen Lab fikk en prøve av et program kalt KaKaoTalk fra en tibetansk kilde i januar, ifølge til bloggen sin. KaKaoTalk, laget av et sørkoreansk selskap, er et meldingsprogram som også lar brukerne utveksle bilder, videoer og kontaktinformasjon.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Søknaden ble mottatt på Jan.16 gjennom e-post av en "høy profil politisk figur i det tibetanske samfunnet", skrev Citizen Lab. Men e-posten ble smidd for å se ut som om den hadde kommet fra en informasjonssikkerhetsekspert som hadde tidligere kontakt med den tibetanske figuren i desember.

På den tiden hadde sikkerhetseksperten sendt den tibetanske aktivisten en legitim versjon av KaKaoTalks Android Application Package Fil (APK) som et alternativ til bruk av WeChat, en annen chat-klient, på grunn av sikkerhetsproblemer som WeChat kan brukes til å overvåke kommunikasjon.

Men versjonen av KaKaoTalk for Android ble endret for å registrere et offers kontakter, SMSer og mobil telefonnettverkskonfigurasjon og overføre den til en ekstern server som ble opprettet for å etterligne Baidu, den kinesiske portalen og søkemotoren.

Malware er i stand til å lagre informasjon som basestasjons-ID, tårn-ID, mobilnettet og områdekoden til telefonen, sa Citizen Lab. Denne informasjonen er vanligvis ikke særlig nyttig for en svindler som prøver å trekke seg fra bedragerier eller identitetstyveri.

Men det er nyttig for en angriper som har tilgang til en mobilkommunikasjonsleverandørs tekniske infrastruktur.

"Det er nesten sikkert representerer informasjonen som en mobilleverandør krever for å initiere avlytting, ofte referert til som "felle og spor", skrev Citizen Lab. "Skuespillere på dette nivået vil også ha tilgang til dataene som kreves for å utføre radiofrekvens triangulering basert på signaldata fra flere tårn, og plassere brukeren innenfor et lite geografisk område."

Citizen Lab bemerket at deres teori er spekulativ og at "det er mulig at disse dataene blir hentet opportunistisk av en skuespiller uten tilgang til slikt mobilnettverksinformasjon."

Den manipulerte versjonen av KaKaoTalk har mange mistenkelige egenskaper: Den bruker et smidd sertifikat og ber om ekstra tillatelser å kjøre på en Android-enhet. Android-enheter forbyr vanligvis å installere programmer fra utenfor Googles Play-butikk, men sikkerhetsforutsetningen kan deaktiveres.

Hvis brukerne lurte på å gi ekstra tillatelser, kjører programmet. Citizen Lab bemerker at tibetanere kanskje ikke har tilgang til Googles Play-butikk, og må installere applikasjoner som er vert for andre steder, noe som setter dem i høyere risiko.

Citizen Lab testet den manipulerte versjonen av KaKaoTalk mot tre mobile antivirusskannere laget av Lookout Mobile Security, Avast og Kaspersky Lab 6. februar og 27. mars. Ingen av produktene oppdaget malware.

Citizen Lab skrev at funnet viser at de som målretter seg mot det tibetanske samfunnet raskt bytter taktikk.

Så snart diskusjonen begynte å bevege seg bort fra WeChat, angriperne "utnyttet denne endringen, dupliserte en legitim melding og produserte en skadelig versjon av et program som ble sirkulert som et mulig alternativ," skrev Citizen Lab.