Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika


vpnMentor se udružio s tvrtkom za cyber-sigurnost ClearSky kako bi objavio ovo izvješće.

Nakon protesta koji su izbili u prosincu 2017., iranska vlada prekinula je upotrebu interneta i blokirala popularne web stranice društvenih medija poput Twittera i Telegrama.

Kao odgovor, mnogi Iranci su počeli koristiti VPN-ove kako bi zaobišli ta ograničenja i pristupili cenzuriranim web lokacijama i aplikacijama.

6. siječnja, dok je nadgledao aktivnosti cyber prostora u Iranu, ClearSky je identificirao pritužbe građana na sumnjive SMS poruke koje su ih ohrabrile da preuzmu VPN kako bi se lakše povezali s Telegramom.

ClearSky je proveo istragu koja je otkrila zlonamjerni Android softver nazvan Ir.ops.breacker, koji je oponašao popularnu VPN aplikaciju, Psiphon.

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Slijedi detaljni prikaz kako ovaj zlonamjerni softver lažno predstavlja Psiphon i širi se.

Kako djeluje virus

Ciljani korisnici dobivaju sljedeću tekstualnu poruku:

tekstualna poruka

[prijevod poruke na farsiju: ​​Pozdrav - preuzmite ovaj VPN kako biste se lakše povezali s Telegramom]

Ovaj tekst obećava korisnicima da ako preuzmu ovaj VPN, mogu deblokirati Telegram.

Kako bi izgledao kao siguran URL, napadači koriste iransku prečicu qqt adrese (ekvivalent usluge bit.ly) za prikrivanje izvorne adrese, koji je serverclient12 [.] tk / dlvpn / vpn [.] apk

Kad korisnici dođu do ove domene, apk pod nazivom psiphon6 - koji nosi službeni logotip Psiphon - automatski preuzima.

Kad korisnik instalira ovaj lažni VPN, aplikacija traži dozvolu za pristup korisnikovom telefonu.

Ispod je popis dozvola koje traži aplikacija.

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Aplikacija također traži pristup korisničkom popisu kontakata. U našem istraživanju, VirusTotal, usluga koja kombinira sve glavne antivirusne programe, naznačili da je traženo dopuštenje za slanje tekstualnih poruka sumnjivo.

Ovo dopuštenje omogućuje zlonamjernom softveru da šalje skrivene tekstualne poruke korisnikovim kontaktima bez korisnikova znanja. Na taj način napadač širi zlonamjerni softver.

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednikaIzvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Kada korisnik pokuša otvoriti aplikaciju, traži se da se poveže s internetom. Tada dobiva poruku o pogrešci i traži se da se ponovno poveže. Nakon što primi još jednu (lažnu) poruku o pogrešci, pojavljuje se nova poruka koja obavještava korisnika da se aplikacija nije ispravno instalirala i da je treba ponovo instalirati iz Google Play trgovine.

Tada se pojavljuje poruka koja kaže da je aplikacija izbrisana s uređaja. Međutim, u stvarnosti, aplikacija je i dalje tu i radi u pozadini.

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Kako smo pronašli zlonamjerni softver

Nakon što je zlonamjerni softver instaliran, koristi dvije usluge upozoravanja za pomicanje za pomicanje naredbi s C-a&C poslužitelj pod domenom HamzadServer [.net] na poslužitelje ronash [.] Pushhe [.] Ir i oneignal [.] Com.

prijemnicima i uslugamaIzvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika
Kad smo skenirali apk datoteku na VirusTotal, samo šest antivirusnih servisa označilo je nju. (Nedavno objavljeno istraživanje pokazalo je da ga sada 23 motora otkrivaju kao virus.)

To znači da čak i ako na telefonu imate instaliran antivirusni softver, datoteka najvjerovatnije neće klasificirati kao zlonamjernu. Nadalje, vjerujemo da postoje i druge zlonamjerne tehnologije koje rade na sličan način koje antivirusni softver još uvijek mora označiti.

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Konkretno, otkrili smo da je php stranica http: // elicharge [.] / Ir / mp20ibest [.] Php sumnjiva. Ova je php stranica također označena kao prisutna u drugom zlonamjernom softveru s istim karakteristikama, uključujući zlonamjerni softver koji se maskira kao Android TV (koristeći logotip ukraden iz TV aplikacije pod nazivom TocaTV, a prekinuta je).

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Kao što vidite, kad smo skenirali ovu datoteku, samo je Avira identificirala kao virus.

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Kad smo pronašli domenu HamzadServer.net, vidjeli smo da je glavna domena na kojoj su posađene zlonamjerne aplikacije serverclient12.tk

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Ova je domena povezana s IP adresom 94.130.144.253, kao i nekoliko drugih domena, a sve se prodaju, osim namazhe [.] Neto

Pomoću Whoisa pronašli smo e-poštu osobe koja je registrirala naziv domene - [email protected]

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Pronašli smo još pet domena povezanih s ovom adresom e-pošte, uključujući elipay [.] Net i hamzad [.] Net (koja je uglavnom povezana s serverom hamzadserver [.] Net).

Prema Whois podacima, osoba koja je registrirala domenu povezana je s adresom e-pošte [email protected] koja, kao i prethodna adresa, sadrži izraz APD.

Dodatnu domenu otvorila je adresa e-pošte [email protected]

Ne znamo točno tko šalje ove tekstualne poruke. Međutim, znamo da je ovaj zlonamjerni softver vrlo sofisticiran. Bez obzira na to je li upravljala vlada ili ne, ona prati iranske mobilne aktivnosti bez odobrenja i već se virusno proširila po cijeloj zemlji.

Ispod je grafikon Maltego koji prikazuje veze između središnjeg poslužitelja hamzadserver i različitih zlonamjernog softvera:

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Sažeti

Ciljna publika ovog napada su korisnici koji brinu o svojoj privatnosti i žele koristiti šifriranu uslugu za slanje poruka Telegram. Ironično, međutim, lažna VPN aplikacija zapravo špijunira njihove aktivnosti i širi se na njihove kontakte bez njihovog znanja.

Budući da vlade diljem svijeta aktivno bilježe i prate građane koji legalno prosvjeduju, preporučljivo je poduzeti sigurnosne mjere i biti oprezni kod poruka koje sugeriraju instaliranje aplikacija, čak i ako je ime aplikacije poznato, a poruka dolazi od poznatog kontakt.

O ClearSky i vpnMentor

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

Clearsky - Posljednjih nekoliko godina Clearsky Security prati cyber aktivnost prijetvornih skupina na Bliskom Istoku, uključujući iranske aktere. U posljednjih nekoliko mjeseci prepoznali smo porast iranskih kampanja socijalnog inženjeringa. Napominjemo, u prosincu smo otkrili kampanju grupe Charming Kitten, koja je stvorila lažnu zapadnu novinsku agenciju pod nazivom "Britishnews", a u veljači smo otkrili iransku dezinformacijsku kampanju usmjerenu na zapadne medije poput BBC-a..

Izvještaj: Lažne Android aplikacije korištene su za nadgledanje iranskih prosvjednika

vpnMentor - Naša web stranica na tržištu procjenjuje preko 300 VPN-ova. Korisnicima omogućuje ocjenjivanje svakog VPN-a, razlikujući dobre od loših. Aktivno provjeravamo VPN-ove zbog propuštanja i pridržavanja njihovih standarda o privatnosti i drugih pravila, izvodeći uslugu za koju prosječni korisnik nema resursa.

Preporučujemo da ovo izvješće dijelite na bilo koji način (uključujući kopiranje slika koje sadrži), pripisujući izvoru.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me