Informe: S’han utilitzat aplicacions falses d’Android per controlar els manifestants iranians


vpnMentor s’ha unit amb l’empresa ClearSky de ciberseguretat per publicar aquest informe.

Després de les protestes que van esclatar el desembre del 2017, el govern iranià va contrarestar l’ús d’Internet i va bloquejar llocs populars de mitjans socials com Twitter i Telegram..

Com a resposta, molts iranians van començar a utilitzar-se per a VPNs per evitar aquestes restriccions i accedir a llocs i aplicacions censurades.

El 6 de gener, mentre vigilava l’activitat del ciberespai a Iran, ClearSky va identificar queixes dels ciutadans sobre missatges de text sospitosos que els van animar a descarregar una VPN per poder connectar-se fàcilment a Telegram..

ClearSky va realitzar una investigació que va revelar un programari maliciós d’Android anomenat Ir.ops.breacker, que imitava la popular aplicació VPN, Psiphon.

A continuació, es detalla com aquest programari maliciós suplica Psiphon i es propaga.

Com funciona el virus

Els usuaris orientats reben el missatge de text següent:

missatge de text

[traducció del missatge a Farsi: Hola: descarregueu aquesta VPN per connectar-vos fàcilment a Telegram]

Aquest text promet als usuaris que si descarreguen aquesta VPN poden desbloquejar Telegram.

Perquè sembli una URL segura, els atacants utilitzen la drecera de l’adreça qqt iraniana (l’equivalent al servei bit.ly) per dissimular l’adreça original, que és serverclient12 [.] tk / dlvpn / vpn [.] apk

Quan els usuaris arriben a aquest domini, un apk anomenat psiphon6, que té el logotip oficial de Psiphon, es descarrega automàticament.

Quan l’usuari instal·la aquesta VPN falsa, l’aplicació demana permís per accedir al telèfon de l’usuari.

A continuació es mostra la llista de permisos sol·licitats per l’aplicació.

L’aplicació també sol·licita accés a la llista de contactes de l’usuari. En la nostra investigació, VirusTotal, un servei que combina tots els principals programes antivirus, va indicar que el permís sol·licitat per enviar missatges de text era sospitós.

Aquest permís permet al programari maliciós enviar missatges de text ocults als contactes de l’usuari sense el coneixement de l’usuari. Així és com l’atacant difon el malware.

Quan l’usuari intenta obrir l’aplicació, se li demana que es connecti a Internet. Després rep un missatge d’error i se li demana que es connecti de nou. Després d’haver rebut un altre (fals) missatge d’error, apareix un missatge nou notificant a l’usuari que l’aplicació no s’ha instal·lat correctament i que l’haurà de tornar a instal·lar de Google Play Store.

A continuació, apareix un missatge dient que l’aplicació s’ha suprimit del dispositiu. Tot i això, en realitat, l’aplicació continua allà i funciona en segon pla.

Com vam rastrejar el programari maliciós

Un cop instal·lat el programari maliciós, utilitza dos serveis d’alerta push per moure ordres des de C&Servidor C sota el domini HamzadServer [.net] als servidors que engeguen [.] Pushe [.] Ir i onesignal [.] Com.

els receptors i serveis
Quan vam escanejar el fitxer apk a VirusTotal, només sis serveis antivirus ho van marcar. (Una recent rescanxa va demostrar que ara 23 motors el detecten com un virus.)

Això vol dir que, fins i tot si teniu programari antivirus instal·lat al telèfon, és probable que no classifiqui el fitxer com a maliciós. A més, creiem que hi ha altres programes maliciosos que funcionen de forma similar que encara no han estat marcats pel programari antivirus.

Concretament, hem detectat que la pàgina php http: // elicharge [.] / Ir / mp20ibest [.] Php és sospitosa. Aquesta pàgina php també va ser present en altres programes maliciosos amb les mateixes característiques, inclòs el malware que es disfressa com Android TV (utilitzant el logotip robat a una aplicació de TV anomenada TocaTV, que es va suspendre).

Com podeu veure, quan vam escanejar aquest fitxer, només Avira el va identificar com a virus.

Quan vam rastrejar el domini HamzadServer.net, vam veure que el domini principal on es van plantar les aplicacions malicioses és serverclient12.tk

Aquest domini està enllaçat a l’adreça IP 94.130.144.253, així com també hi ha diversos altres dominis, tots ells en venda, excepte namazhe [.] Net

Utilitzant Whois hem rastrejat el correu electrònic de la persona que va registrar el nom de domini – [email protected]

Hem trobat cinc dominis més associats a aquesta adreça de correu electrònic, inclosos elipay [.] Net i hamzad [.] Net (que probablement està connectat al servidor hamzadserver [.] Net).

Segons les dades de Whois, la persona que va registrar el domini està enllaçada a l’adreça de correu electrònic [email protected] que, com l’adreça anterior, conté el terme APD.

Es va obrir un domini addicional per l’adreça de correu electrònic [email protected]

No sabem exactament qui envia aquests missatges de text. Tanmateix, sabem que aquest programari maliciós és molt sofisticat. Tant si funciona des del govern com si no, rastreja les activitats mòbils iranianes sense permís i ja s’ha estès viralment per tot el país.

A continuació es mostra un gràfic de Maltego que mostra les connexions entre el servidor central de hamzadserver i els diversos programes maliciosos:

Resumir

El públic objectiu d’aquest atac són els usuaris que es preocupen per la seva privadesa i volen utilitzar el servei de missatgeria xifrat Telegram. Irònicament, però, l’aplicació VPN falsa realment espia les seves activitats i es propaga als seus contactes sense el seu coneixement.

Atès que els governs de tot el món estan registrant i fent un seguiment actiu dels ciutadans que protesten legalment, és convenient prendre mesures de seguretat i estar atents als missatges que suggereixen instal·lar aplicacions, fins i tot si el nom de l’aplicació és familiar i el missatge prové d’un conegut. contacte.

Quant a ClearSky i vpnMentor

Clearsky: Durant els últims anys, Clearsky Security ha estat controlant l’activitat cibernètica de grups d’amenaça a l’Orient Mitjà, inclosos els actors iranians. En els darrers mesos, hem identificat un augment de campanyes d’enginyeria social iraniana. Cal destacar que, al desembre, vam exposar una campanya del grup Charming Kitten, que va crear una agència de notícies occidental falsa anomenada “Britishnews”, i al febrer vam exposar una campanya de desinformació iraniana dirigida a mitjans de comunicació occidentals com la BBC..

vpnMentor – El nostre lloc avalua més de 300 VPN al mercat. Permet als usuaris valorar cadascuna de les VPN, diferenciant les bones de les dolentes. Comprovem activament les VPN per si hi ha filtracions i atenció a les seves normes de privadesa i altres polítiques, realitzant un servei per al qual l’usuari mitjà no té recursos..

Us recomanem que compartiu aquest informe per qualsevol mitjà que vulgueu (inclosa la còpia d’imatges que inclogui), amb atribució a l’origen.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map