Raport: Aplicațiile false Android au fost folosite pentru a monitoriza protestatarii iranieni
vpnMentor a făcut echipă cu firma ClearSky de securitate cibernetică pentru a publica acest raport.
În urma protestelor izbucnite în decembrie 2023, guvernul iranian s-a prăbușit asupra utilizării internetului și a blocat site-urile de socializare populare precum Twitter și Telegram.
Ca răspuns, mulți iranieni au început să folosească VPN-urile pentru a evita aceste restricții și pentru a accesa site-urile și aplicațiile cenzurate.
Pe 6 ianuarie, în timp ce monitoriza activitatea cibernetică din Iran, ClearSky a identificat plângeri din partea cetățenilor cu privire la mesaje text suspecte care i-au încurajat să descarce un VPN pentru a se conecta cu ușurință la Telegram..
ClearSky a efectuat o anchetă care a dezvăluit software-ul Android rău intenționat numit Ir.ops.breacker, care imita popularul aplicație VPN, Psiphon.
Urmărește o privire atentă asupra modului în care acest malware afectează și se răspândește Psiphon.
Cum funcționează virusul
Utilizatorii vizați primesc următorul mesaj text:
[traducerea mesajului în Farsi: Bună ziua – descărcați acest VPN pentru a vă conecta cu ușurință la Telegram]
Acest text le promite utilizatorilor că, dacă descarcă acest VPN, pot debloca Telegram.
Pentru a face să pară o adresă URL sigură, atacatorii folosesc comanda rapidă a adreselor qqt iraniene (echivalentul serviciului bit.ly) pentru a deghiza adresa inițială, care este serverclient12 [.] tk / dlvpn / vpn [.] apk
Când utilizatorii ajung în acest domeniu, un apk numit psiphon6 – care poartă sigla oficială Psiphon – se descarcă automat.
Când utilizatorul instalează acest VPN fals, aplicația solicită permisiunea de a accesa telefonul utilizatorului.
Mai jos este lista de permisiuni solicitate de aplicație.
Aplicația solicită, de asemenea, acces la lista de contacte a utilizatorului. În investigația noastră, VirusTotal, un serviciu care combină toate principalele programe antivirus, a indicat că permisiunea solicitată pentru a trimite mesaje text era suspectă.
Această permisiune permite malware-ului să trimită mesaje text ascunse la contactele utilizatorului fără cunoștința utilizatorului. Acesta este modul în care atacatorul răspândește malware.
Când utilizatorul încearcă să deschidă aplicația, i se cere să se conecteze la internet. Apoi primește un mesaj de eroare și i se cere să se conecteze din nou. După ce a primit un alt mesaj (fals) de eroare, apare un mesaj nou care anunță utilizatorului că aplicația nu s-a instalat corect, iar el trebuie să o reinstaleze din Google Play Store.
Apoi apare un mesaj care spune că aplicația a fost ștersă de pe dispozitiv. Cu toate acestea, în realitate, aplicația este încă acolo și rulează în fundal.
Cum am urmărit programele malware
Odată instalat programul malware, acesta folosește două servicii de alertă push pentru a muta comenzile din C&Serverul C sub domeniul HamzadServer [.net] pentru serverele care ronash [.] Pushe [.] Ir și onesignal [.] Com.
Când am scanat fișierul apk pe VirusTotal, doar șase servicii antivirus au semnalizat-o. (O recenzie recentă a arătat că acum 23 de motoare îl detectează ca fiind un virus.)
Aceasta înseamnă că, chiar dacă aveți software antivirus instalat pe telefon, cel mai probabil nu va clasifica fișierul ca fiind rău intenționat. Mai mult, credem că există și alte malware care funcționează într-o manieră similară, care încă nu au fost marcate de software antivirus.
Mai exact, am constatat că pagina php http: // elicharge [.] / Ir / mp20ibest [.] Php este suspectă. Această pagină php a fost semnalată ca fiind prezentă și în alte programe malware cu aceleași caracteristici, inclusiv malware-ul care se maschează ca Android TV (folosind logo-ul furat dintr-o aplicație TV numită TocaTV, care a fost întreruptă).
După cum vedeți, când am scanat acest fișier, numai Avira l-a identificat ca fiind un virus.
Când am urmărit domeniul HamzadServer.net, am văzut că principalul domeniu în care au fost plantate aplicațiile dăunătoare este serverclient12.tk
Acest domeniu este legat de adresa IP 94.130.144.253, la fel ca și alte câteva domenii, toate fiind de vânzare, cu excepția namazhe [.] Net
Folosind Whois am urmărit e-mail-ul persoanei care a înregistrat numele de domeniu – [email protected].
Am găsit alte cinci domenii asociate cu această adresă de e-mail, inclusiv elipay [.] Net și hamzad [.] Net (care este cel mai probabil conectat la serverul hamzadserver [.] Net).
Conform datelor Whois, persoana care a înregistrat domeniul este legată de adresa de e-mail [email protected] care, ca și adresa anterioară, conține termenul APD.
Un domeniu suplimentar a fost deschis de adresa de e-mail [email protected].
Nu știm exact cine trimite aceste mesaje text. Cu toate acestea, știm că acest malware este foarte sofisticat. Indiferent că a fost guvernat sau nu, acesta urmărește activitățile mobile ale iranienilor fără permisiune și s-a răspândit deja viral în toată țara.
Mai jos este un grafic Maltego care arată conexiunile dintre serverul central hamzadserver și diferitele programe malware:
A rezuma
Publicul țintă al acestui atac sunt utilizatorii cărora le pasă de confidențialitatea lor și doresc să utilizeze serviciul de mesagerie criptat Telegram. În mod ironic, însă, aplicația VPN falsă spionează de fapt activitățile lor și se propagă la contactele lor fără să știe.
Deoarece guvernele din întreaga lume înregistrează și urmăresc în mod activ cetățenii care protestează legal, este recomandabil să ia măsuri de securitate și să fie atent la mesajele care sugerează instalarea aplicațiilor, chiar dacă numele aplicației este familiar și mesajul provine de la un cunoscut a lua legatura.
Despre ClearSky și vpnMentor
Clearsky – În ultimii ani, Clearsky Security a monitorizat activitatea cibernetică a grupurilor de amenințări din Orientul Mijlociu, inclusiv ale actorilor iranieni. În ultimele luni, am identificat o creștere a campaniilor de inginerie socială iraniană. De remarcat, în decembrie, am expus o campanie a grupului Charming Kitten, care a creat o agenție de știri occidentală falsă numită „Britishnews”, iar în februarie am expus o campanie de dezinformare iraniană care vizează mijloacele de comunicare din vest, precum BBC.
vpnMentor – Site-ul nostru evaluează peste 300 de VPN-uri pe piață. Permite utilizatorilor să noteze fiecare dintre VPN-uri, diferențindu-le pe cele bune de cele rele. Verificăm activ VPN-urile pentru scurgeri și respectarea standardelor de confidențialitate și a altor politici, efectuând un serviciu pentru care utilizatorul mediu nu are resurse.
Vă recomandăm să partajați acest raport prin orice mijloace doriți (inclusiv copierea imaginilor pe care le include), cu atribuire la sursa.
17.04.2023 @ 21:28
un virus. Este important să fim conștienți de astfel de amenințări și să fim precauți atunci când descărcăm aplicații sau software-uri de pe internet. În plus, este important să folosim VPN-uri de încredere și să fim atenți la mesajele suspecte sau link-urile necunoscute. Mulțumim vpnMentor și ClearSky pentru eforturile lor de a ne informa cu privire la această amenințare cibernetică.