针对西藏着名政治人物的Android间谍软件分析表明,它可能是为了弄清楚受害者的确切位置而制作的。
该研究由多伦多大学公民实验室蒙克全球事务学院是一个正在进行的项目的一部分,该项目正在研究西藏社区如何继续成为复杂的网络游戏活动的目标。
西铁城实验室根据西藏消息来源于1月份获得了一份名为KaKaoTalk的应用程序样本,到它的博客。由韩国公司制作的KaKaoTalk是一款通讯应用程序,可让用户交换照片,视频和联系信息。
[更多阅读:如何从Windows PC删除恶意软件]该应用程序在Jan公民实验室写道:“通过电子邮件发送一封”西藏社区中的高调政治人物“。但是,这封电子邮件被伪造成看起来像是来自于12月曾与西藏人有过接触的信息安全专家。
当时,安全专家已向西藏活动家发送了KaKaoTalk的Android应用程序包由于安全问题,WeChat可用于监控通信,因此File(APK)作为使用另一个聊天客户端WeChat的替代方案。
但KaKaoTalk for Android版本已被修改为记录受害者的联系人,短信和手机电话网络配置并将其传输到远程服务器,该服务器是为模仿百度,中国门户网站和搜索引擎而创建的。
恶意软件能够记录诸如基站ID,塔ID,移动网络代码和西铁城实验室表示,该手机的区号。这些信息通常对试图阻止欺诈或身份盗用的诈骗者没有多大用处。
但是,攻击者可以访问移动通信提供商的技术基础设施,这一点非常有用。
“几乎可以肯定代表蜂窝服务提供商发起窃听的信息,通常被称为“陷阱和追踪”,“Citizen Lab写道。 “这个级别的参与者还可以使用基于来自多个塔的信号数据来执行射频三角测量所需的数据,从而将用户放置在一个很小的地理区域内。”
公民实验室指出他们的理论是推测性的, “有可能这些数据是由没有访问这种蜂窝网络信息的演员机会性地收集的。”
KaKaoTalk的篡改版本具有许多可疑特征:它使用伪造的证书并要求额外的权限来运行一个Android设备。 Android设备通常禁止安装Google Play商店外的应用程序,但可以禁用安全防范。
如果用户被诱骗授予额外权限,应用程序将运行。西铁城实验室指出,西藏人可能无法访问谷歌的Play商店,并且必须安装在其他地方托管的应用程序,这使他们面临更高的风险。
Citizen Lab针对由Lookout Mobile Security制作的三款移动防病毒扫描程序对KaKaoTalk进行了篡改测试, Avast和卡巴斯基实验室于2月6日和3月27日进行了调查。没有任何产品检测到恶意软件。
西铁城实验室写道,调查结果显示那些以西藏社区为目标的人很快改变了他们的策略。为了摆脱微信,攻击者“利用这一变化,复制了合法的信息,并生成恶意版本的应用程序作为可能的替代方案”,Citizen Lab写道,