נחשפה אפליקציית אנדרואיד המרגלת אחרי משתמשים במזה"ת ומדליפה מהם נתונים
מאת:
מערכת Telecom News, 14.7.20, 13:00
קמפיין ריגול-סייבר זה קשור, ככל הנראה, לקבוצת פושעי סייבר הידועה בשם Gaza Hackers או Molerats.
חוקרי חברת אבטחת המידע
ESET גילו מתקפה חדשה המהווה חלק מקמפיין ריגול-סייבר מתמשך במזרח התיכון, שככלהנראה, קשור לקבוצת פושעי סייבר הידועה בשם
Gaza Hackers או
Molerats.
כלי הנשק במתקפה זו הוא אפליקציה לאנדרואיד
,Welcome Chat שמשמשת כרוגלה אך מאפשרת לשוחח בצ'טים כפי שהיא מבטיחה. באתר הזדוני, שמקדם ומפיץ את האפליקציה, מובטח, שהיא מציעה פלטפורמת שיחות צ'ט בטוחה, שזמינה בחנות האפליקציות
Google Play. אך 2 הטענות האלו הן שקריות ועל פי החוקרים הטענה בנוגע ל"בטיחות" האפליקציה היא שקר של ממש
.
אתר האפליקציה הזדונית -
Welcome Chat app:
לוקאש סטפנקו, חוקר אבטחת המידע של
ESET: "אפליקציית
Welcome Chat היא אמנם כלי ריגול, אך נוסף על החטא של גניבת המידע, התוקפים מאפשרים לכל אדם ברשת לגשת למידע האישי, שנאסף באמצעותה. בנוסף, האפליקציה אף פעם לא הייתה זמינה להורדה בחנות האפליקציות של אנדרואיד".
אפליקציית
Welcome Chat מתנהגת כמו כל אפליקציית שיחות צ'ט, שאינה זמינה בחנות האפליקציות הרשמית:
צריך לאפשר התקנה ממקורות חיצוניים כדי להתקין אותה.
לאחר ההתקנה היא מבקשת הרשאה לשליחת וקריאת הודעות
SMS, להקלטת סאונד וגישה לקבצים, אנשי קשר ונתוני מיקום.
ברגע שהמשתמש מאשר הרשאות אלו לאפליקציה, היא מתחילה לקבל הוראות משרת השליטה והבקרה שלה והיא מעלה אליו את כל הנתונים שהצליחה לאסוף.
האפליקציה לא מעלה רק את שיחות הצ'ט שבתוכה, אלא גם את הודעות ה-
SMS שבמכשיר, את היסטוריית השיחות, רשימת אנשי הקשר, תמונות, הקלטות שיחות ואת מיקום המכשיר
.
הרשאות אותן האפליקציה מבקשת:
סטפנקו: "לרוע מזלם של הקורבנות, אפליקציית
Welcome Chat והתשתית עליה היא מבוססת לא תוכננו להיות בטוחות. המידע המועבר אינו מוצפן, ולכן הוא זמין לא רק לתוקפים אלא גם לכל מכשיר אחר הנמצא באותה הרשת.
ניסינו לגלות האם אפליקציית
Welcome Chat היא אפליקציה קיימת, שעליה נוסף קוד זדוני, או אפליקציה זדונית, שפותחה למטרה זו בלבד. עשינו את מיטב המאמצים כדי למצוא גרסה נקייה של האפליקציה הזו, כדי להודיע למפתחיה על פרצת האבטחה שבה. אנו מניחים ברמת ביטחון די גבוהה, שאין גרסה נקייה של האפליקציה הזו. כמובן, לא ניסינו ליצור קשר עם קבוצת הסייבר העומדת מאחורי מתקפת הריגול הזו.
אפליקציית
Welcome Chat שייכת למשפחה מוכרת של נוזקות אנדרואיד, והתשתית שעליה היא בנויה נוצלה גם לקמפיין ריגול אחר, ששמו
BadPatch, שגם הוא כוון אל מטרות במזרח התיכון. קמפיין
BadPatch שויך לקבוצת התקיפה
Gaza Hackers הידועה גם בשם
Molerats. המידע הזה גורם לנו להאמין, שגם מתקפה זו מגיעה מאותה הקבוצה"
.
אמנם, מבצע הריגול הזה פונה לטווח מטרות קטן יחסית, אך החברה ממליצה למשתמשים, שלא להתקין אפליקציות מחוץ לחנות
Google Play למעט מקורות בטוחים כמו אתר אינטרנט של ספק ידוע של מוצרי אבטחה או של מוסד פיננסי בעל שם.
מעבר לכך, מומלץ למשתמשים להיות ערניים להרשאות, שהאפליקציות במכשיריהם מבקשות, ולהתייחס בחשדנות לכל אפליקציה המבקשת יותר הרשאות ממה שהיא צריכה. כמובן, רצוי להתקין פתרון אבטחה מהימן על המכשירים כאמצעי אבטחה ראשוני
.