티베트 활동가를 타겟으로하는 안드로이드 메시징 맬웨어

눈에 띄는 티벳인 정치인을 대상으로 한 안드로이드 스파이웨어 분석은 피해자의 정확한 위치를 파악하기 위해 만들어 졌음을 시사합니다.

토론토 대학의 시민 연구소에서 수행 한 연구 티베트 커뮤니티가 정교한 사이버 섹싱 캠페인에 의해 어떻게 계속 목표가 정해지는지를보고있는 진행중인 프로젝트의 일부입니다.

Citizen Lab은 1 월 티베트 출신의 KaKaoTalk이라는 애플리케이션 샘플을 얻었습니다. 블로그에.

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

응용 프로그램이 Jan에 수신되었습니다. Citizen Lab은 "티베트 지역 사회에서 정치적으로 유명 인사가 찍은 이메일"로 이메일을 보냈다. 그러나이 이메일은 지난 12 월 티베트 인물과 접촉 한 정보 보안 전문가가 보낸 것처럼 보였습니다.

당시 보안 전문가는 티베트 인권 운동가에게 KaKaoTalk의 안드로이드 애플리케이션 패키지의 합법적 인 버전을 보냈습니다 WeChat을 사용하여 통신을 모니터링 할 수 있다는 보안 문제로 인해 다른 채팅 클라이언트 인 WeChat을 사용하는 대신 APK (File (APK))를 사용합니다.

하지만 Android 용 KaKaoTalk 버전은 피해자의 연락처, SMS 및 모바일을 기록하도록 수정되었습니다. Baidu, 중국 포털 및 검색 엔진을 모방 한 원격 서버로 전송할 수 있습니다.

악성 코드는 기지국 ID, 타워 ID, 모바일 네트워크 코드 및 기타 정보를 기록 할 수 있습니다. 전화의 지역 번호, 시민 연구소 말했다. 이 정보는 일반적으로 사기 나 신분 도용을 시도하는 사기꾼에게는별로 유용하지 않습니다.

그러나 이동 통신 제공 업체의 기술 인프라에 액세스 할 수있는 공격자에게는 유용합니다.

"거의 확실합니다. 씨티 연구소 (Citizen Lab)는 휴대 전화 서비스 제공 업체가 도청을 시작하기 위해 요구하는 정보를 나타냅니다.이 정보는 흔히 '함정 및 추적'이라고 불립니다. "이 수준의 액터는 여러 타워의 신호 데이터를 기반으로 라디오 주파수 삼각 측량을 수행하는 데 필요한 데이터에 액세스하여 사용자를 작은 지리적 영역에 배치합니다."Citizen Lab은 그들의 이론이 투기 적이며 "이 데이터가 그러한 셀룰러 네트워크 정보에 액세스하지 않고 배우에 의해 기회 주의적으로 수집 될 가능성이 있습니다."KaKaoTalk의 변조 된 버전은 위조 된 인증서를 사용하고 실행 권한을 요청합니다 Android 기기. Android 기기는 일반적으로 외부 Google Play 스토어의 애플리케이션 설치를 금지하지만 보안주의 사항을 사용 중지 할 수 있습니다.

사용자가 속여 추가 사용 권한을 부여하면 애플리케이션이 실행됩니다. Citizen Lab은 티벳인들이 Google의 Play 스토어에 액세스 할 수 없으며 다른 곳에 호스팅 된 애플리케이션을 설치해야 더 높은 위험에 처하게됩니다.

Citizen Lab은 Lookout Mobile Security에서 만든 세 가지 모바일 바이러스 백신 스캐너에 대해 KaKaoTalk의 변조 된 버전을 테스트했습니다. Aviz와 Kaspersky Lab은 2 월 6 일과 3 월 27 일에 악성 코드를 발견했습니다.

Citizen Lab은 티베트 지역 사회를 목표로하는 사람들이 전략을 신속하게 바꾼 것으로 나타났습니다.

WeChat에서 벗어나기 위해 공격자들은 합법적 인 메시지를 복제하고 가능한 대안으로 배포되는 악성 애플리케이션 버전을 생성함으로써 이러한 변화를 활용했습니다 "라고 Citizen Lab은 말했습니다.