Il malware di messaggistica Android prende di mira gli attivisti tibetani

Un'analisi di un pezzo di spyware Android destinato a una figura politica tibetana di spicco suggerisce che potrebbe essere stato costruito per capire la posizione esatta della vittima.

La ricerca, eseguita dal Citizen Lab presso l'Università di Toronto Munk School of Global Affairs, fa parte di un progetto in corso che guarda a come la comunità tibetana continua a essere bersaglio di sofisticate campagne di cyberspicking.

Citizen Lab ha ottenuto un campione di un'applicazione chiamata KaKaoTalk da una fonte tibetana a gennaio, secondo al suo blog. KaKaoTalk, realizzato da un'azienda sudcoreana, è un'applicazione di messaggistica che consente anche agli utenti di scambiare foto, video e informazioni di contatto.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

L'applicazione è stata ricevuta il gennaio.16 tramite e-mail da una "figura politica di alto profilo nella comunità tibetana", ha scritto Citizen Lab. Ma l'e-mail è stata falsificata per sembrare che provenisse da un esperto di sicurezza delle informazioni che aveva contatti precedenti con la figura tibetana a dicembre.

A quel tempo, l'esperto di sicurezza aveva inviato all'attivista tibetana una versione legittima del pacchetto di applicazioni Android di KaKaoTalk File (APK) come alternativa all'utilizzo di WeChat, un altro client di chat, a causa di problemi di sicurezza che WeChat potrebbe essere utilizzato per monitorare le comunicazioni.

Ma la versione di KaKaoTalk per Android era stata modificata per registrare i contatti, gli SMS e i dispositivi mobili della vittima configurazione di rete del telefono e trasmetterlo a un server remoto, creato per imitare Baidu, il portale cinese e il motore di ricerca.

Il malware è in grado di registrare informazioni come ID della stazione base, ID torre, codice di rete mobile e codice di zona del telefono, Citizen Lab ha detto. Queste informazioni in genere non sono di grande utilità per un truffatore che sta tentando di eliminare frodi o furti di identità.

Ma è utile per un utente malintenzionato che ha accesso all'infrastruttura tecnica di un provider di comunicazioni mobili.

"Quasi certamente rappresenta l'informazione che un fornitore di servizi cellulari richiede per iniziare l'intercettazione, spesso indicata come "trap e traccia", "ha scritto Citizen Lab. "Gli attori a questo livello avrebbero anche accesso ai dati necessari per eseguire la triangolazione in radiofrequenza basata sui dati del segnale da più torri, collocando l'utente in una piccola area geografica."

Il Citizen Lab ha notato che la loro teoria è speculativa e che "è possibile che questi dati vengano raccolti opportunisticamente da un attore senza accesso a tali informazioni di rete cellulare".

La versione manomessa di KaKaoTalk ha molti tratti sospetti: usa un certificato forgiato e richiede permessi extra per essere eseguito su un dispositivo Android. I dispositivi Android in genere proibiscono l'installazione di applicazioni al di fuori del Play Store di Google, ma tale precauzione di sicurezza può essere disabilitata.

Se gli utenti sono indotti a concedere autorizzazioni extra, l'applicazione verrà eseguita. Citizen Lab rileva che i tibetani potrebbero non avere accesso al Play Store di Google e devono installare applicazioni ospitate altrove, il che li espone a un rischio maggiore.

Citizen Lab ha testato la versione manomessa di KaKaoTalk contro tre scanner antivirus mobili realizzati da Lookout Mobile Security, Avast e Kaspersky Lab il 6 febbraio e il 27 marzo. Nessuno dei prodotti ha rilevato il malware.

Citizen Lab ha scritto che la scoperta mostra che coloro che prendono di mira la comunità tibetana cambiano rapidamente le loro tattiche.

Non appena sono iniziate le discussioni per allontanarsi da WeChat, gli aggressori "hanno sfruttato questo cambiamento, duplicando un messaggio legittimo e producendo una versione malevola di un'applicazione che viene fatta circolare come possibile alternativa", ha scritto Citizen Lab.