Ziņojums: Irānas protestētāju uzraudzībai tika izmantotas viltotas Android lietotnes

vpnMentor ir sadarbojies ar kiberdrošības firmu ClearSky, lai atbrīvotu šo ziņojumu.

Pēc protestiem, kas izcēlās 2023. gada decembrī, Irānas valdība apturēja interneta izmantošanu un bloķēja tādas populāru sociālo mediju vietnes kā Twitter un Telegram.

Atbildot uz to, daudzi irāņi sāka izmantot VPN, lai apietu šos ierobežojumus un piekļūtu vietnēm un lietotnēm, kuru cenzūra tiek cenzēta.

Uzraugot kibertelpas aktivitātes Irānā, 6. janvārī ClearSky identificēja iedzīvotāju sūdzības par aizdomīgām īsziņām, kas mudināja viņus lejupielādēt VPN, lai ērti izveidotu savienojumu ar Telegram.

ClearSky veica izmeklēšanu, kurā atklājās ļaunprātīga Android programmatūra ar nosaukumu Ir.ops.breacker, kas atdarināja populāro VPN lietotni Psiphon.

Tālāk ir apskatīts, kā šī ļaunprogrammatūra uzdodas par Psiphon un izplatās.

Kā darbojas vīruss

Mērķtiecīgi lietotāji saņem šādu īsziņu:

īsziņa

[ziņojuma tulkojums persiešu valodā: Sveiki – lejupielādējiet šo VPN, lai ērti izveidotu savienojumu ar Telegram]

Šis teksts lietotājiem sola, ka, lejupielādējot šo VPN, viņi var atbloķēt Telegram.

Lai tas izskatās kā drošs URL, uzbrucēji izmanto Irānas adreses saīsni qqt (bit.ly pakalpojuma ekvivalents) lai slēptu sākotnējo adresi, kas ir serverclient12 [.] tk / dlvpn / vpn [.] apk

Kad lietotāji ierodas šajā domēnā, automātiski tiek lejupielādēta apkps psiphon6, kas nes oficiālo Psiphon logotipu.

Kad lietotājs instalē šo viltus VPN, lietotne lūdz atļauju piekļūt lietotāja tālrunim.

Zemāk ir saraksts ar lietotnes pieprasītajām atļaujām.

Lietotne arī pieprasa piekļuvi lietotāja kontaktu sarakstam. Mūsu izmeklēšanā VirusTotal – pakalpojums, kas apvieno visu galveno pretvīrusu programmatūru, norādīja, ka pieprasītā atļauja īsziņu sūtīšanai ir aizdomīga.

Šī atļauja ļauj ļaunprogrammatūrai sūtīt slēptās īsziņas lietotāja kontaktpersonām bez lietotāja ziņas. Tādējādi uzbrucējs izplata ļaunprātīgu programmatūru.

Kad lietotājs mēģina atvērt lietotni, viņam tiek lūgts izveidot savienojumu ar internetu. Pēc tam viņš saņem kļūdas ziņojumu un tiek lūgts atkal izveidot savienojumu. Pēc cita (viltus) kļūdas ziņojuma saņemšanas parādās jauns ziņojums, kurā lietotājam tiek paziņots, ka lietotne nav instalēta pareizi, un viņam tas ir jāpārinstalē no Google Play veikala..

Pēc tam parādās ziņojums, kurā teikts, ka lietotne tika izdzēsta no ierīces. Tomēr patiesībā, lietotne joprojām atrodas un darbojas fonā.

Kā mēs meklējām ļaunprātīgu programmatūru

Kad ļaunprogrammatūra ir instalēta, tā izmanto divus tūlītējas brīdināšanas pakalpojumus, lai komandas pārvietotu no C&C serveris zem HamzadServer [.net] domēna serveriem ronash [.] Pushe [.] Ir un onesignal [.] Com.

uztvērēji un pakalpojumi
Kad mēs skenējām apk failu VirusTotal, tikai seši pretvīrusu pakalpojumi to atzīmēja kā nepiemērotu. (Nesenais skenēšana parādīja, ka tagad 23 dzinēji to atklāj kā vīrusu.)

Tas nozīmē, ka, pat ja tālrunī ir instalēta pretvīrusu programmatūra, visticamāk, tas neklasificēs failu kā ļaunprātīgu. Turklāt mēs uzskatām, ka ir arī citi ļaunprātīgas programmatūras, kas darbojas līdzīgā veidā un par kurām antivīrusu programmatūra vēl nav jāatzīmē.

Konkrēti, mēs atklājām, ka php lapa http: // elicharge [.] / Ir / mp20ibest [.] Php ir aizdomīga. Šī php lapa tika arī atzīmēta kā tāda, kas atrodas citās ļaunprogrammatūrās ar tādām pašām īpašībām, ieskaitot ļaunprogrammatūru, kas maskējas kā Android TV (izmantojot logotipu, kas nozagts no TV lietotnes TocaTV, kura tika pārtraukta).

Kā redzat, kad mēs skenējām šo failu, tikai Avira to identificēja kā vīrusu.

Izsekojot HamzadServer.net domēnu, mēs redzējām, ka galvenais domēns, kurā tika stādītas ļaunprātīgās lietojumprogrammas, ir serverclient12.tk

Šis domēns ir saistīts ar IP adresi 94.130.144.253, tāpat kā vairāki citi domēni, kuri visi ir paredzēti pārdošanai, izņemot namazhe [.] Net

Izmantojot Whois, mēs izsekojām tās personas e-pastu, kura reģistrēja domēna vārdu – [email protected].

Mēs atradām vēl piecus domēnus, kas saistīti ar šo e-pasta adresi, ieskaitot elipay [.] Net un hamzad [.] Net (kas visdrīzāk ir savienots ar serveri hamzadserver [.] Net).

Saskaņā ar Whois datiem, persona, kas reģistrēja domēnu, ir saistīta ar e-pasta adresi [email protected], kurā tāpat kā iepriekšējā adresē ir termins APD.

Papildu domēnu atvēra ar e-pasta adresi [email protected].

Mēs precīzi nezinām, kas sūta šīs īsziņas. Tomēr mēs zinām, ka šī ļaunprātīgā programmatūra ir ļoti sarežģīta. Neatkarīgi no tā, vai to pārvalda valdība, tas bez atļaujas izseko Irānas mobilās aktivitātes un jau ir izplatījies visā valstī.

Zemāk ir Maltego diagramma, kas parāda savienojumus starp hamzadserver centrālo serveri un dažādām ļaunprogrammatūrām:

Apkopot

Šī uzbrukuma mērķauditorija ir lietotāji, kuriem rūp viņu privātums un kuri vēlas izmantot šifrētu ziņojumapmaiņas pakalpojumu Telegram. Ironiski, ka tomēr, viltus VPN lietotne faktiski spieg par viņu darbībām un izplatās uz viņu kontaktiem bez viņu ziņas.

Tā kā valdības visā pasaulē aktīvi reģistrē un izseko pilsoņus, kuri likumīgi protestē, ieteicams veikt drošības pasākumus un jāuzmanās no ziņojumiem, kas ierosina instalēt lietotnes, pat ja lietotnes nosaukums ir pazīstams un ziņojums nāk no zināma kontakts.

Par ClearSky un vpnMentor

Clearsky – dažu pēdējo gadu laikā Clearsky Security ir novērojusi Tuvo Austrumu draudu grupu, tostarp Irānas dalībnieku, kibernoziegumus. Pēdējos mēnešos mēs esam identificējuši Irānas sociālās inženierijas kampaņu pieaugumu. Jāatzīmē, ka decembrī mēs atklājām grupas Charming Kitten kampaņu, kas izveidoja viltotu rietumu ziņu aģentūru ar nosaukumu “Britishnews”, un februārī mēs atklājām Irānas dezinformācijas kampaņu, kuras mērķauditorija bija rietumu plašsaziņas līdzekļi, piemēram, BBC.

vpnMentor – mūsu vietne novērtē vairāk nekā 300 tirgū esošus VPN. Tas lietotājiem ļauj novērtēt katru no VPN, atšķirot labos no sliktajiem. Mēs aktīvi pārbaudām, vai VPN nav noplūdes un vai nav ievēroti viņu privātuma standarti un citas politikas, veicot pakalpojumu, kura vidusmēra lietotājam nav resursu.

Mēs iesakām jums kopīgot šo ziņojumu ar jebkādiem līdzekļiem (ieskaitot kopētu tajā iekļautos attēlus), attiecinot to uz avotu.