Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták


A vpnMentor a ClearSky kiberbiztonsági céggel közösen jelentette be ezt a jelentést.

A 2017. decemberben kitört tüntetéseket követően az iráni kormány felbomlott az internethasználat miatt, és blokkolta az olyan népszerű közösségi médiaoldalakat, mint a Twitter és a Telegram.

Válaszul sok iráni kezdett a VPN-ekkel e korlátozások megkerülése, valamint a cenzúrázott webhelyek és alkalmazások elérése érdekében.

Január 6-án, miközben figyelemmel kísérte az iráni kibertér-tevékenységeket, a ClearSky azonosította a polgárok panaszt a gyanús szöveges üzenetekkel kapcsolatban, és arra ösztönözte őket, hogy töltsenek le VPN-t a Telegramhoz való könnyű kapcsolódás érdekében..

A ClearSky nyomozást folytatott, amely felfedte Ir.ops.breacker nevű rosszindulatú Android-szoftver, amely utánozta a népszerű VPN alkalmazást, a Psiphon-ot.

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

Az alábbiakban részletesen bemutatjuk, hogy ez a rosszindulatú program hogyan utánozza a Pszifont és elterjed.

Hogyan működik a vírus

A célzott felhasználók a következő szöveges üzenetet kapják:

szöveges üzenet

[üzenet fordítása perzsa nyelven: Helló - töltse le ezt a VPN-t annak érdekében, hogy könnyen csatlakozhasson a Telegramhoz]

Ez a szöveg azt ígéri a felhasználók számára, hogy ha letöltik ezt a VPN-t, feloldhatják a Telegram blokkolását.

Annak érdekében, hogy biztonságos URL-nek tűnjön, a támadók az iráni qqt címparancsot használják (a bit.ly szolgáltatás egyenértékű) hogy elrejtse az eredeti címet, ami a serverclient12 [.] tk / dlvpn / vpn [.] apk

Amikor a felhasználók megérkeznek erre a domainre, egy psiphon6 nevű apk - amely a hivatalos Psiphon emblémát tárolja - automatikusan letöltődik.

Amikor a felhasználó telepíti ezt a hamis VPN-t, az alkalmazás engedélyt kér a felhasználó telefonjának eléréséhez.

Az alábbiakban felsoroljuk az alkalmazás által kért engedélyeket.

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

Az alkalmazás hozzáférést kér a felhasználó kapcsolattartó listájához. Vizsgálatunkban a VirusTotal, egy szolgáltatás, amely az összes fő víruskereső szoftvert ötvözi, jelezte, hogy a szöveges üzenetek küldésére kért engedély gyanús.

Ez az engedély lehetővé teszi a rosszindulatú programok számára, hogy rejtett szöveges üzeneteket küldjenek a felhasználó kapcsolattartóira a felhasználó tudta nélkül. A támadó így terjeszti a rosszindulatú programokat.

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használtákJelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

Amikor a felhasználó megpróbálja megnyitni az alkalmazást, felkérést kap, hogy csatlakozzon az internethez. Ezután hibaüzenetet kap, és újra fel kell kérni a kapcsolatot. Miután újabb (hamis) hibaüzenetet kapott, megjelenik egy új üzenet, amely értesíti a felhasználót arról, hogy az alkalmazás nem települt megfelelően, és újratelepítenie kell a Google Play Áruházból..

Ezután megjelenik egy üzenet, amelyben kijelenti, hogy az alkalmazást törölték az eszközről. Valójában azonban, az alkalmazás még mindig ott van és fut a háttérben.

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

Hogyan nyomon követjük a rosszindulatú programokat

A rosszindulatú programok telepítése után két push-riasztási szolgáltatást használ a parancsok áthelyezésére a C-ről&C szerver a HamzadServer [.net] domain alatt a ronash [.] Pushe [.] Ir és onesignal [.] Com szerverekhez.

a vevők és a szolgáltatásokJelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták
Amikor átvizsgáltuk az apk fájlt a VirusTotalon, csak hat víruskereső szolgáltatás jelölte meg. (Egy nemrégiben elvégzett átvizsgálás azt mutatta, hogy most 23 motor vírust észlel.)

Ez azt jelenti, hogy még ha víruskereső szoftvert is telepített a telefonjára, valószínűleg nem osztályozza a fájlt rosszindulatúnak. Úgy gondoljuk, hogy vannak más hasonló módon működő kártevők is, amelyeket az antivírus szoftver még nem jelez.

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

Pontosabban azt találtuk, hogy a http: // elicharge [.] / Ir / mp20ibest [.] Php php oldal gyanús. Ezt a php oldalt más, azonos jellemzőkkel rendelkező rosszindulatú programokban is jelentették, ideértve az Android TV-vel álarcolt kártevő programokat is (a TocaTV nevű TV-alkalmazásból ellopott logót használva, amely megszűnt).

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

Mint láthatja, amikor ezt a fájlt átvizsgáltuk, csak az Avira vírusként azonosította.

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

Amikor nyomon követjük a HamzadServer.net domént, láttuk, hogy a fő domain, ahol a rosszindulatú alkalmazásokat telepítették, a serverclient12.tk

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

Ez a domain kapcsolódik a 94.130.144.253 IP-címhez, csakúgy, mint számos más domain, amelyek mindegyike eladó, kivéve a namazhe [.] Net

A Whois segítségével nyomon követhetjük a domain nevet regisztráló személy e-mailjét - [email protected]

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

További öt domaint találtunk ehhez az e-mail címhez, beleértve az elipay [.] Net és a hamzad [.] Net (ami valószínűleg kapcsolódik a hamzadserver [.] Net szerverhez).

A Whois adatai szerint a domain regisztrálóját a [email protected] e-mail címhez kapcsolják, amely az előző címhez hasonlóan tartalmazza az APD kifejezést..

Egy további domaint az [email protected] e-mail cím nyitott meg.

Nem tudjuk pontosan, ki küldi ezeket a szöveges üzeneteket. Tudjuk azonban, hogy ez a rosszindulatú program nagyon kifinomult. Akár a kormány működteti, akár nem, engedély nélkül nyomon követi az iráni mobil tevékenységeket, és már virálisan elterjedt az ország egész területén.

Az alábbiakban egy maltego-grafikon látható, amely a hamzadserver központi szerver és a különféle rosszindulatú programok közötti kapcsolatokat mutatja:

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

Összefoglalni

A támadás célközönsége azok a felhasználók, akik törődnek a magánéletükkel, és a Telegram titkosított üzenetküldő szolgáltatást akarják használni. Ironikus módon, a hamis VPN alkalmazás ténylegesen kémkedik tevékenységükről, és tudásuk nélkül terjed a kapcsolattartókra.

Mivel a világ minden táján a kormányok aktívan rögzítik és nyomon követik a törvényesen tiltakozó állampolgárokat, tanácsos biztonsági intézkedéseket tenni és óvatosnak lennie az alkalmazások telepítését javasló üzenetekkel, még akkor is, ha az alkalmazás neve ismert, és az üzenet ismert kapcsolatba lépni.

A ClearSkyról és a vpnMentorról

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

Clearsky - Az elmúlt néhány évben a Clearsky Security figyelte a Közel-Keleten fenyegetõ csoportok, köztük az iráni szereplőket. Az elmúlt hónapokban az iráni társadalmi mérnöki kampányok növekedését azonosítottuk. Figyelemre méltó, hogy decemberben a Charming Kitten csoport kampányát mutatták be, amely egy hamis nyugati hírügynökséget hozott létre, melynek címe a „Britishnews”..

Jelentés: A hamis Android-alkalmazásokat az iráni tüntetők megfigyelésére használták

vpnMentor - Webhelyünk több mint 300 VPN-t értékel a piacon. Ez lehetővé teszi a felhasználók számára, hogy mindegyik VPN-t értékeljék, megkülönböztetve a jót a rosszat. A VPN-eket aktívan ellenőrizzük a szivárgások, valamint az adatvédelmi szabványaik és más irányelveink betartása szempontjából, olyan szolgáltatást nyújtva, amelynek az átlagos felhasználónak nincs erőforrása.

Javasoljuk, hogy ossza meg ezt a jelentést bármilyen módon (beleértve a benne szereplő képek másolását is), a forráshoz rendelve.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me