Les malwares de la messagerie Android activent les activistes tibétains

Une analyse d'un logiciel espion Android ciblant un personnage politique tibétain de premier plan suggère qu'il a pu être construit pour déterminer l'emplacement exact de la victime.

La recherche, réalisée par le Citizen Lab de l'Université de Toronto Munk School of Global Affairs fait partie d'un projet en cours qui étudie la façon dont la communauté tibétaine continue d'être ciblée par des campagnes de cybersphase sophistiquées.

Citizen Lab a obtenu un échantillon d'une application appelée KaKaoTalk d'une source tibétaine en janvier. à son blog. KaKaoTalk, réalisé par une société sud-coréenne, est une application de messagerie qui permet également aux utilisateurs d'échanger des photos, des vidéos et des informations de contact

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

16 par courrier électronique par un «personnage politique de haut niveau dans la communauté tibétaine», écrit Citizen Lab. Mais l'email a été créé pour ressembler à un expert en sécurité de l'information qui avait déjà eu un contact avec la personnalité tibétaine en décembre.

A cette époque, l'expert en sécurité avait envoyé une version légitime de l'application Android de KaKaoTalk à l'activiste tibétaine. Fichier (APK) comme une alternative à l'utilisation de WeChat, un autre client de chat, en raison de problèmes de sécurité que WeChat pourrait être utilisé pour surveiller les communications.

Mais la version de KaKaoTalk pour Android avait été modifiée pour enregistrer les contacts d'une victime, SMS et mobile configuration du réseau téléphonique et la transmettre à un serveur distant, qui a été créé pour imiter Baidu, le portail chinois et le moteur de recherche.

Le malware peut enregistrer des informations telles que l'ID de la station de base, l'ID de la tour, Selon le Citizen Lab, le code régional du téléphone Cette information n'est généralement pas très utile pour un escroc qui tente de se débarrasser de fraudes ou de vol d'identité.

Mais il est utile pour un attaquant qui a accès à l'infrastructure technique d'un fournisseur de communication mobile.

représente l'information qu'un fournisseur de services cellulaires a besoin d'initier une écoute clandestine, souvent appelée «piège et trace», a écrit Citizen Lab. "Les acteurs de ce niveau auraient également accès aux données nécessaires pour effectuer la triangulation radiofréquence basée sur les données de signaux de plusieurs tours, plaçant l'utilisateur dans une zone géographique restreinte."

The Citizen Lab a noté que leur théorie est spéculative et "Il est possible que ces données soient collectées de manière opportuniste par un acteur sans accès à ces informations de réseau cellulaire."

La version altérée de KaKaoTalk a de nombreux traits suspects: elle utilise un faux certificat et demande des autorisations supplémentaires pour fonctionner un appareil Android. Les appareils Android interdisent généralement l'installation d'applications à l'extérieur du Google Play Store, mais cette précaution de sécurité peut être désactivée.

Si les utilisateurs sont trompés en accordant des autorisations supplémentaires, l'application s'exécutera. Citizen Lab note que les Tibétains n'ont pas accès au Google Play Store et doivent installer des applications hébergées ailleurs, ce qui les expose à un risque plus élevé.

Citizen Lab a testé la version altérée de KaKaoTalk contre trois scanners antivirus mobiles de Lookout Mobile Security, Avast et Kaspersky Lab, les 6 et 27 mars. Aucun des produits n'a détecté le logiciel malveillant.

Citizen Lab a écrit que les résultats montrent que ceux qui ciblent la communauté tibétaine changent rapidement de tactique.

Dès le début des discussions Pour s'éloigner de WeChat, les attaquants "ont exploité ce changement, en reproduisant un message légitime et en produisant une version malveillante d'une application diffusée comme une alternative possible", écrit Citizen Lab.