נוזקת ריגול חדשה לאנדרואיד משתמשת בטלגרם כפיתיון
מאת:
מערכת Telecom News, 30.9.20, 15:00
הנוזקה החדשה נמצאת בשימוש קבוצת התקיפה APT-C-23 ופעילה בעיקר במזרח התיכון. מומלץ להשתמש בפתרונות אבטחה לסמארטפונים.
חוקרי חברת אבטחת המידע
ESET איתרו וחקרו גרסה חדשה של נוזקת ריגול לאנדרואיד המשתמשת את קבוצת התקיפה
APT-C-23, שפעילה מאז 2017 ומתמקדת בעיקר במזרח התיכון.
הנוזקה החדשה מבוססת על גרסאות, שכבר דווחו בעבר, עם פונקציונאליות ריגול מורחבת, פיצ'רים חדשים להתגנבות ותקשורת
C&C מעודכנת.
אחת הדרכים להפצת הנוזקה היא באמצעות חנות אפליקציות מזויפת של
Android המתחזה לאפליקציות ידועות כמו
טלגרם ו-
Threema כפיתיון.
המחקר החל כשחוקר עמית צייץ על דגימה של תוכנה זדונית באפריל 2020.
לוקאש סטפנקו, חוקר
ESET: "בניתוח משותף עלה, שהנוזקה הזו היא חלק מארגז הכלים של קבוצת
APT-C-23 והיא, למעשה, גרסה משופרת של נוזקת הריגול הניידת שלהם".
הדרך להפצת הנוזקה הייתה באמצעות התחזות לאפליקציות מוכרות בחנות אפליקציות מזויפת של אנדרואיד ובמקרים מסוימים הקורבנות התקינו גם את הנוזקה וגם את האפליקציה המזויפת.
חנות האפליקציות המזויפת המשמשת את קבוצת התקיפה:
לאחר ההתקנה, הנוזקה מבקשת סדרת הרשאות רגישות בהסוואה לתוכנות אבטחה ופרטיות. התוקפים השתמשו בטכניקות דומות להנדסה חברתית כדי להערים על הקורבנות ולאשר הרשאות רגישות שונות. דוגמה לכך היא הרשאה לקריאת התראות תחת הסוואה של הצפנת הודעות.
לאחר שהושלמה ההתקנה, התוכנה הזדונית יכולה לבצע מגוון פעילויות ריגול על סמך פקודות משרת ה-
C&C שלה. בנוסף להקלטת אודיו, גישה ליומני שיחות, הודעות, אנשי קשר וגניבת קבצים, הנוזקה יכולה גם לקרוא התראות מאפליקציות, לבצע הקלטת שיחות וצילומי המסך ואפילו לבטל התראות מאפליקציות אבטחה מובנות של אנדרואיד.
קבוצת התקיפה
APT-C-23 ידועה כמשתמשת ברכיבי
Windows ואנדרואיד כבר מ-2017. מאז פורסמו ניתוחים מרובים של תוכנות זדוניות של הקבוצה, אך הגרסה האחרונה כוללת מספר שיפורים ההופכים אותה למסוכנת אפילו יותר עבור הקורבנות.
כיצד ניתן להישאר בטוחים מפני נוזקות ריגול?
- משתמשי אנדרואיד, הורידו והתקינו רק אפליקציות מהחנות הרשמית Google Play.
- בידקו הרשאות שכל אפליקציה מבקשת מכם.
- השתמשו בפתרונות אבטחה גם לסמארטפונים שלכם.
פרטים נוספים והמחקר המלא -
APT-C-23 group evolves its Android spyware
עדכון 15.1.23: משטרת ישראל ענתה ב"אין תגובה" לחשיפת
אבי וייס לכך, שמשטרת ישראל השתמשה ומשתמשת גם כיום (למרות השבתת מערכת הפגסוס\סייפן, ראה
דו"ח מררי -
כאן ו
כאן), במערכת האזנת סתר לטלגרם - בתוכנה להעתקת טלגרם, מערכת נפרדת מזו של הפגסוס\סייפן. תגובת משטרת ישראל -
כאן.
עדכון 17.1.23: פורסם ע"י
עומר כביר מ"כלכליסט"
כאן (כותרת בלבד): "איגוד האינטרנט הישראלי: "המידע שהמשטרה שואבת ממכשירים לרוב כרוך בעבירות פליליות וחורג מסמכויותיה".
הדו"ח מבקר את השימוש שעושות רשויות אכיפת החוק בישראל בכלי פריצה, ריגול ושאיבת מידע. ומדגיש את הצורך לעדכן את החוק והרגולציה בנושא חדירה למכשירים חכמים ושירותי ענן. כמו כן, מחברי הדו"ח מציעים מתווה לאסדרת החיפוש."
המסמך המלא של המחקר מצוי
כאן (או
כאן, אם זה ייעלם מרשת האינטרנט).