Perisian malware pemesejan Android sasaran aktivis Tibet

Analisis terhadap sekeping pengintip Android yang mensasarkan tokoh politik Tibet yang menonjol menunjukkan ia mungkin telah dibina untuk mencari lokasi sebenar mangsa.

Penyelidikan yang dilakukan oleh Lab Citizen di Universiti Toronto Munk School of Global Affairs, adalah sebahagian daripada projek yang sedang berjalan yang meneliti bagaimana masyarakat Tibet terus menjadi sasaran kampanye cyberspying yang canggih.

Lab Citizen memperoleh sampel aplikasi yang dipanggil KaKaoTalk dari sumber Tibet pada bulan Januari, ke blognya. KaKaoTalk, yang dibuat oleh syarikat Korea Selatan, adalah aplikasi pesanan yang juga membolehkan pengguna menukar gambar, video dan maklumat hubungan.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Permohonan itu diterima pada Jan 16 melalui e-mel oleh "tokoh politik berprofil tinggi dalam masyarakat Tibet," tulis Citizen Lab. Tetapi e-mel itu dibuat untuk kelihatan seperti ia datang dari pakar keselamatan maklumat yang pernah menghubungi kenalan Tibet pada Disember.

Pada masa itu, pakar keselamatan telah menghantar aktivis Tibet versi sah dari Kaedah Aplikasi Android KaKaoTalk File (APK) sebagai alternatif untuk menggunakan WeChat, klien perbualan lain, kerana kebimbangan keselamatan yang WeChat boleh digunakan untuk memantau komunikasi.

Tetapi versi KaKaoTalk untuk Android telah diubahsuai untuk merakamkan kenalan, SMS dan telefon bimbit mangsa konfigurasi rangkaian telefon dan menghantarnya ke pelayan jauh, yang telah dibuat untuk meniru Baidu, portal Cina dan enjin carian.

Alat perosak ini mampu merekod maklumat seperti ID stesen pangkalan, ID menara, kod rangkaian mudah alih dan kod kawasan telefon, kata Makmal Rakyat. Maklumat itu biasanya tidak banyak digunakan untuk seorang penipu yang cuba untuk menarik penipuan atau kecurian identiti.

Tetapi berguna untuk penyerang yang mempunyai akses ke infrastruktur teknis penyedia komunikasi bergerak.

"Ini hampir pasti mewakili maklumat yang memerlukan pembekal perkhidmatan selular untuk memulakan penyaduran, sering disebut sebagai 'perangkap dan jejak', "tulis Makmal Citizen. "Pelakon di peringkat ini juga akan mempunyai akses kepada data yang diperlukan untuk melakukan triangulasi frekuensi radio berdasarkan data isyarat dari pelbagai menara, menempatkan pengguna dalam kawasan geografi yang kecil."

Makmal Rakyat menyatakan bahawa teori mereka adalah spekulatif dan bahawa "adalah mungkin data ini dikumpulkan secara opportunistically oleh seorang pelakon tanpa akses kepada maklumat rangkaian selular sedemikian."

Versi tampalan KaKaoTalk mempunyai banyak ciri yang mencurigakan: ia menggunakan sijil palsu dan meminta kebenaran tambahan untuk dijalankan sebuah peranti Android. Peranti Android biasanya melarang memasang aplikasi dari luar gedung Play Google, tetapi langkah berjaga-jaga keselamatan itu boleh dilumpuhkan.

Jika pengguna ditipu ke dalam memberikan izin tambahan, aplikasi akan dijalankan. Lab Citizen mencatatkan bahawa warga Tibet mungkin tidak mempunyai akses ke gedung Play Google dan mesti memasang aplikasi yang dihoskan di tempat lain, yang meletakkan mereka pada risiko yang lebih tinggi.

Lab Laber menguji versi KaavanTalk yang merosakkan terhadap tiga pengimbas antivirus mudah alih yang dibuat oleh Lookout Mobile Security, Avast dan Kaspersky Lab pada 6 Februari dan 27 Mac. Tiada produk yang mengesan malware itu.

Makmal Rakyat menulis bahawa temuan itu menunjukkan mereka yang mensasarkan masyarakat Tibet dengan cepat mengubah taktik mereka.

Sebaik sahaja perbincangan bermula untuk beralih dari WeChat, penyerang "memanfaatkan perubahan ini, menduplikasi mesej yang sah dan menghasilkan versi yang berniat jahat dari suatu aplikasi yang diedarkan sebagai alternatif yang mungkin," tulis Lab Citizen.