Raporti: Aplikacionet false të Android u përdorën për të monitoruar protestuesit iranianë

vpnMentor është bashkuar me firmën e sigurisë në internet ClearSky për të lëshuar këtë raport.

Pas protestave që shpërtheu në dhjetor 2017, qeveria iraniane shkatërroi përdorimin e internetit dhe bllokoi faqet e njohura të mediave sociale si Twitter dhe Telegram.

Si përgjigje, shumë iranianë filluan të përdorin VPN në mënyrë që të anashkalojnë këto kufizime dhe të përdorin faqet dhe aplikacionet e censuruara.

Më 6 janar, ndërsa monitoroi aktivitetin e hapësirës në internet në Iran, ClearSky identifikoi ankesat nga qytetarët për mesazhe me tekst të dyshimtë që i inkurajuan ata të shkarkojnë një VPN në mënyrë që të lidheshin lehtësisht me Telegram.

ClearSky kreu një hetim që zbuloi softuer me qëllim të keq Android i quajtur Ir.ops.breacker, i cili imitoi aplikacionin popullor VPN, Psiphon.

Më poshtë është një vështrim i hollësishëm se si ky malware falsifikon Psiphon dhe përhapet.

Si funksionon virusi

Përdoruesit e synuar marrin mesazhin e mëposhtëm:

mesazh teksti

[Përkthimi i mesazhit në Farsi: Përshëndetje – shkarkoni këtë VPN në mënyrë që të lidheni lehtësisht me Telegram]

Ky tekst u premton përdoruesve që nëse e shkarkojnë këtë VPN, ata mund të zhbllokojnë Telegramin.

Për ta bërë atë të duket si një URL e sigurt, sulmuesit përdorin shkurtoren e adresës iraniane qqt (ekuivalenti i shërbimit bit.ly) për të maskuar adresën origjinale, i cili është serverclient12 [.] tk / dlvpn / vpn [.] apk

Kur përdoruesit arrijnë në këtë domen, një apk i quajtur psiphon6 – i cili mban logon zyrtare të Psiphon – shkarkon automatikisht.

Kur përdoruesi instalon këtë VPN të rreme, aplikacioni kërkon leje për të hyrë në telefonin e përdoruesit.

Më poshtë është lista e lejeve të kërkuara nga aplikacioni.

Aplikacioni kërkon gjithashtu hyrje në listën e kontakteve të përdoruesit. Në hetimin tonë, VirusTotal, një shërbim që ndërthur të gjithë programet kryesore antivirus, tregoi që leja e kërkuar për të dërguar mesazhe me tekst ishte e dyshimtë.

Kjo leje lejon malware të dërgojë mesazhe me tekst të fshehura në kontaktet e përdoruesit pa dijeninë e përdoruesit. Kjo është mënyra se si sulmuesi përhapet malware.

Kur përdoruesi përpiqet të hapë aplikacionin, atij i kërkohet të lidhet me internetin. Ai më pas merr një mesazh gabimi dhe i kërkohet të lidhet përsëri. Pas marrjes së një mesazhi tjetër gabimi (false), shfaqet një mesazh i ri që njofton përdoruesin që aplikacioni nuk e ka instaluar saktë, dhe ai ka nevojë ta rivendosë atë nga Dyqani Google Play.

Një mesazh më pas shfaqet duke thënë se aplikacioni ishte fshirë nga pajisja. Sidoqoftë, në realitet, aplikacioni është akoma atje dhe funksionon në sfond.

Si e gjurmojmë malware

Pasi të instalohet malware, ai përdor dy shërbime paralajmëruese për të lëvizur komanda nga C&Serveri C nën domenin e HamzadServer [.net] në serverat e dritash [.] Shtyn [.] Ir dhe signignal [.] Com.

marrësit dhe shërbimet
Kur skanuam skedarin apk në VirusTotal, vetëm gjashtë shërbime antivirus e flamuruan atë. (Një rekanik i kohëve të fundit tregoi se tani 23 motorë e zbulojnë atë si një virus.)

Kjo do të thotë që edhe nëse keni instaluar program antivirus në telefonin tuaj, ka shumë të ngjarë që nuk do ta klasifikoni skedarin si qëllim të keq. Për më tepër, ne besojmë se ka malwares të tjera që punojnë në një mënyrë të ngjashme që ende nuk janë flamuruar nga programi antivirus.

Konkretisht, kemi zbuluar se faqja php http: // elicharge [.] / Ir / mp20ibest [.] Php është e dyshimtë. Kjo faqe php u shënua gjithashtu si e pranishme në malware të tjerë me të njëjtat karakteristika, duke përfshirë malware që maskon si Android TV (duke përdorur logon e vjedhur nga një aplikacion TV i quajtur TocaTV, i cili u ndërpre).

Siç mund ta shihni, kur skanuam këtë skedar, vetëm Avira e identifikoi atë si një virus.

Kur kemi gjurmuar fushën e HamzadServer.net, ne pamë se domeni kryesor ku u mbollën aplikacionet me qëllim të keq është serverclient12.tk

Ky domain është i lidhur me adresën IP 94.130.144.253, siç janë disa fusha të tjera, të gjitha janë për shitje, përveç namazhe [.] Net

Duke përdorur Whois kemi gjurmuar emailin e personit që regjistroi emrin e domain – [email protected]

Ne gjetëm pesë fusha të tjera të lidhura me këtë adresë emaili, duke përfshirë rrjetin elipay [.] Net dhe hamzad [.] (I cili është i lidhur me shumë mundësi me hamzadserver serverin [.] Net).

Sipas të dhënave të Whois, personi që ka regjistruar domenin është i lidhur me adresën e emailit [email protected] e cila, si adresa e mëparshme, përmban termin APD.

Një domen shtesë u hap nga adresa e emailit [email protected]

Ne nuk e dimë saktësisht se kush po i dërgon këto mesazhe me tekst. Sidoqoftë, ne e dimë se ky malware është shumë i sofistikuar. Pavarësisht nëse është qeveria e operuar apo jo, ajo gjurmon aktivitetet e Iranit pa leje dhe tashmë është përhapur viralisht në të gjithë vendin.

Më poshtë është një grafik i Maltego që tregon lidhjet midis serverit qendror të hamzadserver dhe malware të ndryshëm:

Për të përmbledhur

Publiku i synuar i këtij sulmi janë përdoruesit që kujdesen për privatësinë e tyre dhe dëshirojnë të përdorin shërbimin e mesazheve të koduar Telegram. Ironikisht, megjithatë, aplikacioni i rremë VPN në të vërtetë spiunon në aktivitetet e tyre dhe përhapet në kontaktet e tyre pa dijeninë e tyre.

Meqenëse qeveritë në të gjithë botën po regjistrojnë dhe ndjekin në mënyrë aktive qytetarët që protestojnë legalisht, këshillohet që të merren masa sigurie dhe të jeni të kujdesshëm ndaj mesazheve që sugjerojnë të instaloni aplikacione, edhe nëse emri i aplikacionit është i njohur dhe mesazhi vjen nga një i njohur kontakt.

Rreth ClearSky dhe vpnMentor

Clearsky – Gjatë disa viteve të fundit Clearsky Security ka monitoruar aktivitetin kibernetik të grupeve të kërcënimit në Lindjen e Mesme, përfshirë aktorët iranianë. Në muajt e fundit ne kemi identifikuar një rritje të fushatave iraniane të inxhinierisë sociale. Vëmendje, në dhjetor ne ekspozuam një fushatë nga grupi Charming Kitten, i cili krijoi një agjenci të rreme perëndimore të lajmeve të quajtur “Britishnews”, dhe në shkurt ne ekspozuam një fushatë iraniane të dezinformimit që synonte daljet në media perëndimore si BBC.

vpnMentor – Faqja jonë vlerëson mbi 300 VPN në treg. Ai lejon përdoruesit të vlerësojnë secilën nga VPN-të, duke dalluar ato të mira nga e keqja. Ne kontrollojmë në mënyrë aktive VPN për rrjedhje dhe respektim të standardeve të tyre të intimitetit dhe politikave të tjera, duke kryer një shërbim për të cilin përdoruesi mesatar nuk ka burime.

Ne ju inkurajojmë ta ndani këtë raport me çfarëdo lloj mënyre që dëshironi (përfshirë kopjimin e imazheve që ai përfshin), duke i atribuar burimit.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me