O malware de mensagens Android tem como alvo ativistas tibetanos

Uma análise de um spyware do Android que aponta uma figura política tibetana proeminente sugere que ele pode ter sido construído para descobrir a localização exata da vítima.

A pesquisa, realizada pelo Citizen Lab na Universidade de Toronto. Munk School of Global Affairs, faz parte de um projeto em andamento que analisa como a comunidade tibetana continua sendo alvo de sofisticadas campanhas de cyberspying.

O Citizen Lab obteve uma amostra de uma aplicação chamada KaKaoTalk de uma fonte tibetana em janeiro, de acordo com para o seu blog. KaKaoTalk, feito por uma empresa sul-coreana, é um aplicativo de mensagens que também permite aos usuários trocar fotos, vídeos e informações de contato

[Leia mais: Como remover malware do seu PC Windows]

O aplicativo foi recebido em janeiro 16 por e-mail por uma “figura política de alto nível na comunidade tibetana”, escreveu o Citizen Lab. Mas o e-mail foi forjado para parecer que tinha vindo de um especialista em segurança da informação que teve contato anterior com a figura tibetana em dezembro.

Naquela época, o especialista em segurança havia enviado ao ativista tibetano uma versão legítima do pacote de aplicativos Android da KaKaoTalk. Arquivo (APK) como uma alternativa ao uso do WeChat, outro cliente de chat, devido a preocupações de segurança de que o WeChat poderia ser usado para monitorar as comunicações.

Mas a versão do KaKaoTalk para Android foi modificada para gravar os contatos, SMS e celular da vítima configuração de rede telefônica e transmiti-la a um servidor remoto, que foi criado para imitar o Baidu, o portal chinês e o mecanismo de pesquisa.

O malware é capaz de registrar informações como ID da estação base, ID de torre, código de rede móvel e código de área do telefone, disse o Citizen Lab. Essa informação normalmente não é muito útil para um scammer que está tentando retirar fraudes ou roubo de identidade.

Mas é útil para um invasor que tenha acesso à infra-estrutura técnica de um provedor de comunicação móvel.

“É quase certo que representa a informação que um provedor de serviços celulares requer para iniciar a escuta, muitas vezes referida como "armadilha e rastreamento", escreveu o Citizen Lab. “Atores nesse nível também teriam acesso aos dados necessários para realizar a triangulação de radiofreqüência com base nos dados de sinal de múltiplas torres, colocando o usuário dentro de uma pequena área geográfica.”

O Citizen Lab observou que sua teoria é especulativa e que “é possível que esses dados estejam sendo reunidos oportunisticamente por um ator sem acesso a tais informações de rede celular.”

A versão adulterada do KaKaoTalk tem muitos traços suspeitos: ele usa um certificado falsificado e pede permissão extra para rodar um dispositivo Android. Os dispositivos Android geralmente proíbem a instalação de aplicativos fora da Google Play Store, mas essa precaução de segurança pode ser desativada.

Se os usuários forem induzidos a conceder permissões extras, o aplicativo será executado. O Citizen Lab observa que os tibetanos podem não ter acesso à Google Play Store e devem instalar aplicativos hospedados em outros lugares, o que os coloca em maior risco.

O Citizen Lab testou a versão adulterada do KaKaoTalk contra três scanners antivírus móveis fabricados pela Lookout Mobile Security, Avast e Kaspersky Lab em 6 de fevereiro e 27 de março. Nenhum dos produtos detectou o malware.

O Citizen Lab escreveu que a descoberta mostra que aqueles que visam a comunidade tibetana mudam rapidamente suas táticas.

Assim que as discussões começaram Para se afastar do WeChat, os invasores “alavancaram essa mudança, duplicando uma mensagem legítima e produzindo uma versão maliciosa de um aplicativo circulando como uma alternativa possível”, escreveu o Citizen Lab.