Κυβερνοκατάσκοποι παγιδεύουν κινητά με πλαστές εκδόσεις WhatsApp και Signal
12:35 - 09 Αυγούστου 2022
Μια ομάδα κυβερνοκατασκόπων –που πιστεύεται ότι δραστηριοποιείται με βάση της την Ινδία και το Πακιστάν– παρακολουθεί χιλιάδες πολίτες μέσω κακόβουλου λογισμικού που "μεταμφιέζεται" σε δημοφιλείς εφαρμογές ανταλλαγής μηνυμάτων, αποκαλύπτει νέα έκθεση του Facebook.
Η έκθεση περιγράφει λεπτομερώς τη δράση της ομάδας Bitter APT, η οποία εγκαθιστά κακόβουλο λογισμικό σε συσκευές Android μέσω πλαστών εκδόσεων των εφαρμογών WhatsApp, Signal και Telegram, οι οποίες χρησιμοποιούνται ευρέως τον τελευταίο καιρό από τους Ουκρανούς ως μέσο γνωστοποίησης πληροφοριών σχετικά με τη ρωσική εισβολή (APT σημαίνει "Advanced Persistent Threat" και είναι ένας αρακτηρισμός που συνήθως δίνεται σε ομάδες χάκερ που χρηματοδοτούνται από το κράτος). Υπό το προσωνύμιο "Dracarys", που βρέθηκε στον κώδικα του κακόβουλου λογισμικού και πιθανόν αποτελεί αναφορά στο Game of Thrones, το κακόβουλο λογισμικό –όπως αναφέρει το Facebook– μπορεί να αποσπάσει κάθε είδους πληροφορίες από μια συσκευή Android, συμπεριλαμβανομένων των αρχείων καταγραφής κλήσεων, των επαφών, των αρχείων, των γραπτών μηνυμάτων και των δεδομένων γεωγραφικού εντοπισμού. Μπορεί επίσης να αποκτήσει πρόσβαση στην κάμερα και στο μικρόφωνο μιας συσκευής.
ΔΙΑΒΑΣΤΕ ΕΔΩ: «Οργιάζουν οι φήμες ότι κόμματα αγόρασαν συστήματα παρακολουθήσεων»
Το "Dracarys" έχει εξαπλωθεί στα μέσα κοινωνικής δικτύωσης της Meta –το Facebook και το Instagram– από χάκερς που εμφανίζονται ως ελκυστικές νεαρές γυναίκες, δημοσιογράφοι ή ακτιβίστριες, οι οποίοι πείθουν τους στόχους τους να κατεβάσουν την ψεύτικη εφαρμογή. Μόλις ολοκληρωθεί το download, το "Dracarys" επιστρατεύει τα "εργαλεία" προσβασιμότητας που χρησιμοποιούν προς διευκόλυνσή τους οι χρήστες με αναπηρία, για να κάνουν αυτόματα click και να παραχωρούν άδειες χρήσης της συσκευής, όπως η κάμερα.
Σύμφωνα με το Facebook, με αυτό τον τρόπο το κακόβουλο λογισμικό συλλέγει δεδομένα από το τηλέφωνο και παράλληλα εμφανίζεται ως αυθεντική εφαρμογή, διασπώντας την άμυνα των anti-virus συστημάτων. "Η Bitter κατάφερε να εγκαταστήσει κακόβουλες λειτουργίες κατά τρόπο που πέρασε απαρατήρητος από το σύστημα ασφαλείας για αρκετό καιρό", ανέφερε το Facebook στην έκθεσή του.
Το Forbes αποκάλυψε περίπου πριν από έναν χρόνο τις διασυνδέσεις μεταξύ της Bitter APT και της ινδικής κυβέρνησης, όταν η ομάδα είχε στη διάθεσή της τα "εργαλεία" για να χακάρει τα Microsoft Windows μιας αμερικανικής εταιρείας. Η Meta δεν θα ανέφερε ποτέ –ακόμα και αν το πίστευε– ότι οι ρίζες της Bitter APT φτάνουν στην Ινδία, αλλά επισήμανε ότι η ομάδα δρούσε από τη Νότια Ασία, θέτοντας στο στόχαστρό της πολίτες από τη Νέα Ζηλανδία, την Ινδία, το Πακιστάν και το Ηνωμένο Βασίλειο. Η ερευνητική ομάδα κυβερνοασφάλειας Talos της Cisco ανακοίνωσε πρόσφατα ότι η Bitter APT πραγματοποιούσε κακόβουλες επιθέσεις από το 2013 σε ενεργειακούς, μηχανολογικούς και κυβερνητικούς φορείς στην Κίνα, στο Πακιστάν και στη Σαουδική Αραβία.
Το Android δεν ήταν ο μοναδικός στόχος της Bitter APT. Το Facebook εντόπισε τα ψεύτικα προφίλ των κυβερνοκατασκόπων να προωθούν links για λήψη μιας εφαρμογής συνομιλίας σε iPhone. Οι χάκερ προσπάθησαν να πείσουν τους στόχους να κατεβάσουν την υπηρεσία (για προγραμματιστές) Testflight της Apple και στη συνέχεια να εγκαταστήσουν την εφαρμογή συνομιλίας. Εκμεταλλευόμενοι το Testflight, οι χάκερς δεν χρειάστηκε να δημιουργήσουν μια προηγμένη πειρατική εφαρμογή για το iPhone, μα απλώς να βασιστούν στην "προγραμματιστική" τους δεξιοτεχνία όσον αφορά τα μέσα κοινωνικής δικτύωσης. Το Facebook δεν μπόρεσε να εντοπίσει εάν αυτό το λογισμικό περιείχε πράγματι κακόβουλο κώδικα, αλλά εκτίμησε ότι "μπορεί να χρησιμοποιήθηκε συμπληρωματικά σε ένα παγιδευμένο μέσο συνομιλίας". Η Meta γνωστοποίησε τα ευρήματα της έκθεσής της στην Apple, με τη δεύτερη να μην έχει σχολιάσει μέχρι σήμερα το θέμα.
Από πλευράς Google, εκπρόσωπός της έκανε την εξής δήλωση: "Το κακόβουλο λογισμικό σε Android δεν μεταφορτώθηκε και δεν διανεμήθηκε μέσω του Play Store. Όλοι οι τομείς διανομής έχουν αποκλειστεί στο Google Safe Browsing και οι χρήστες Android που έχουν εγκαταστήσει αυτά τα πακέτα θα λάβουν μια προειδοποίηση στη συσκευή τους".
ΔΙΑΒΑΣΤΕ ΕΔΩ: Γιατί επιβάλλεται να ανοίξει το θέμα παρακολουθήσεων στην Κύπρο
Την Πέμπτη, το Facebook ανακοίνωσε επίσης ότι διαπίστωση κακόβουλη δράση μιας ομάδας χάκερ από το Πακιστάν, με κυβερνητικό υπόβαθρο, γνωστή ως APT36. Και αυτή δημιουργούσε εργαλεία κατασκοπείας για Android μεταμφιεσμένα σε εφαρμογές, όπως το WhatsApp, το κινεζικό μέσο κοινωνικής δικτύωσης WeChat και το YouTube. Το κακόβουλο λογισμικό ήταν ουσιαστικά μια τροποποιημένη έκδοση ενός γνωστού εργαλείου Android, με την ονομασία XploitSPY, "που αρχικά αναπτύχθηκε από μια ομάδα "ηθικών" –όπως αυτοπροσδιορίζονται– χάκερ στην Ινδία". Μπορούσε να κατασκοπεύει επαφές, λίστες κλήσεων και να ακούει τις συνομιλίες πολιτών μέσω του μικροφώνου της συσκευής. Η APT36 εντοπίστηκε να παγιδεύει άτομα στο Αφγανιστάν, στην Ινδία, στο Πακιστάν, στα Ηνωμένα Αραβικά Εμιράτα και στη Σαουδική Αραβία, "συμπεριλαμβανομένων στρατιωτικών, κυβερνητικών αξιωματούχων, υπαλλήλων σε οργανισμούς ανθρωπίνων δικαιωμάτων και άλλων μη κερδοσκοπικών οργανώσεων, καθώς και φοιτητών".
Ο Mike Dvilyanski, επικεφαλής των ερευνών του Facebook κατά της κυβερνοκατασκοπείας, δήλωσε ότι η Meta έχει εντοπίσει 10.000 χρήστες σε τουλάχιστον εννέα χώρες που ενδέχεται να έχουν γίνει στόχος των APT36 και Bitter APT και βρίσκεται στη διαδικασία προειδοποίησης των χρηστών απευθείας μέσω του Facebook και του Instagram. "Αν πιστεύουμε ότι μπορεί να έχετε έρθει σε επαφή με οποιαδήποτε από αυτές τις ομάδες, θέλουμε να σας προειδοποιήσουμε και να σας πούμε τα εργαλεία που μπορείτε να χρησιμοποιήσετε για να ασφαλίσετε την online παρουσία σας", δήλωσε στο Forbes.
Ούτε η πρεσβεία του Πακιστάν ούτε η πρεσβεία της Ινδίας στο Λονδίνο έχουν ανταποκριθεί έως τώρα σε αιτήματα για σχολιασμό των παραπάνω αναφορών.
Πηγή: capital