נחשפה Viceleaker - תקיפה ממוקדת על סמארטפונים ישראלים
מאת:
מערכת Telecom News, 1.7.19, 12:07
התקיפה אפשרה לתוקפים גישה ל-SMS, יומן שיחות, אפליקציות מסרים, הקלטות נפח (הקלטות אודיו של סביבת המכשיר) ומידע כללי על המכשיר. המקור הגיע מאיראן. איך זה עבד?
חוקרים מצוות המחקר הגלובלי של קספרסקי חשפו בימיים האחרונים את
Viceleaker, תקיפה ממוקדת על מכשירים סלולריים של משתמשים ברחבי המזרח התיכון, עם
התמקדות במשתמשים ישראלים, שאפשרה לתוקפים גישה ל-
SMS, ליומן שיחות, אפליקציות מסרים, הקלטות נפח (הקלטות אודיו של סביבת המכשיר) ומידע כללי על המכשיר.
התקיפה בוצעה בעיקר באמצעות שיתוף אפליקציות בוואטסאפ ובטלגרם, והמשתמשים קיבלו הודעות עם קישורים להורדה של
אפליקציות מזויפות, כשהפופולריות ביניהן הייתה
"Sex Game for Adults" . משתמש שלחץ על הקישור הוריד קובץ
APK (חוקי) למכשיר שלו, שהתקין אפליקציות עם "דלת אחורית", מה שאפשר לתוקף לקבל שליטה על המכשיר ועל המידע העובר באפליקציות של המשתמש
.
המחקר, שנערך ע"י
עידו נאור ו
אלכסיי פירש, חוקרים בקספרסקי, כולל ניתוח של מספר אפליקציות אנדרואיד בעלות יכולות גבוהות יותר מאשר אפליקציות זדוניות רגילות, דבר שהעלה את חשדם כי מדובר
בתקיפה ממוקדת וממומנת מדינה.
ממערכות הזיהוי של החברה עולה, כי
מקור האפליקציות הגיע מאיראן. בנוסף לאפליקציות, זוהתה מערכת קוד-פתוח בשם
Conversations, ששימשה את התוקפים להתכתבויות והעברות מסרים ביניהם וזו הותקנה על שרת התקיפה שמקורו
גם הוא באיראן.
התוקפים השתמשו בשיטה הנקראת
Smali Injection. בעזרת כלי לעריכה של אפליקציות אנדרואיד הנקרא
Smali Tool, הצליחו התוקפים לפתוח את האפליקציות ולארוז אותן מחדש עם הקוד הזדוני באין מפריע. לא ברור עדיין מה היתה שיטת הפעולה. בשנים האחרונות היינו עדים לשימוש בפרופילים מזויפים של נערות, אך לא היו ממצאים הקושרים שיטות אלו לתקיפה הנוכחית.
עוד עולה מניתוח התקיפה, שההאקרים שינו את קוד מערכת ההתכתבויות (
Conversations) כדי שיתאים לדרך בה ניהלו את התקיפה, לדוגמה, תוסף במערכת היה זיהוי של מיקום ההתחברות. כך, שההאקרים יכלו לוודא, שאין האזנה על ההתכתבויות, מה שלא מנע את חשיפת התקיפה, עם מינימום נזק למטרות ישראליות. מידע זה ומידע רלוונטי נוסף שותף עם גורמי הביטחון.
לעת עתה,
Viceleaker איננו פעיל עוד. אולם, הרושם הוא, שהתוקפים מחפשים דרכי פעולה חדשות. למעשה, בחברה חוקרים כעת האם הקבוצה המדוברת עלולה להיות גם מאחורי התקפה בקנה מידה גדול יותר על אתרי אינטרנט, באמצעות הזרקת קוד
SQL והתקנת תוכנות שליטה. גם אם לא ימצא קשר ישיר בין התקיפה על מכשירי הסלולר לבין התקיפה על אתרי האינטרנט, הדבר יעיד על יכולות מגוונות של התוקפים.
מומלץ למשתמשים לוודא, שתוכנת הגנה מותקנת על הסמארטפון.
מומלץ לא לפתוח אפליקציות שאינן ממקור מהימן או שאינן מגיעות מחנויות האפליקציות.
דו"ח המלא -
כאן.
Viceleaker server exposing the attacker's email address