קספרסקי: קמפיין תקיפה ממוקד במכשירי סלולר ישראלים

Google+ Pinterest LinkedIn Tumblr +

חוקרים מצוות המחקר הגלובלי של קספרסקי, חשפו בימיים האחרונים את Viceleaker, תקיפה ממוקדת על מכשירים סלולריים של משתמשים ברחבי המזרח התיכון, עם התמקדות במשתמשים ישראלים, שאפשרה לתוקפים גישה ל-SMS, ליומן שיחות, אפליקציות מסרים, הקלטות נפח (הקלטות אודיו של סביבת המכשיר) ומידע כללי על המכשיר.  

התקיפה בוצעה בעיקר באמצעות שיתוף אפליקציות בוואטסאפ ובטלגרם, והמשתמשים קיבלו הודעות עם קישורים להורדה של אפליקציות מזויפות, כשהפופולאריות ביניהן היתה"Sex Game for Adults" . משתמש שלחץ על הקישור הוריד קובץ APK (חוקי) למכשיר שלו שהתקין אפליקציות עם "דלת אחורית", מה שאפשר לתוקף לקבל שליטה על המכשיר ועל המידע שעובר באפליקציות של המשתמש.

המחקר שנערך על ידי עידו נאור ואלכסיי פירש, חוקרים בקספרסקי, כולל ניתוח של מספר אפליקציות אנדרואיד בעלות יכולות גבוהות יותר מאשר אפליקציות זדוניות רגילות, דבר שהעלה את חשדם כי מדובר בתקיפה ממוקדת וממומנת מדינה.

ממערכות הזיהוי של קספרסקי עולה כי מקור האפליקציות הגיע מאיראן. בנוסף לאפליקציות, זוהתה מערכת קוד-פתוח בשם Conversations, אשר שימשה את התוקפים להתכתבויות והעברות מסרים ביניהם וזו הותקנה על שרת התקיפה שמקורו גם הוא באיראן.

התוקפים השתמשו בשיטה הנקראת Smali Injection. בעזרת כלי לעריכה של אפליקציות אנדרואיד הנקרא Smali Tool, הצליחו התוקפים לפתוח את האפליקציות ולארוז אותן מחדש עם הקוד הזדוני באין מפריע. לא ברור עדיין מה היתה שיטת הפעולה. בשנים האחרונות היינו עדים לשימוש בפרופילים מזויפים של נערות, אך לא היו ממצאים הקושרים שיטות אלו לתקיפה הנוכחית.

עוד עולה מניתוח התקיפה כי ההאקרים שינו את קוד מערכת ההתכתבויות (Conversations) על מנת שיתאים לדרך בה ניהלו את התקיפה, לדוגמה, תוסף במערכת היה זיהוי של מיקום ההתחברות, כך שההאקרים יכלו לוודא שאין האזנה על ההתכתבויות, מה שלא מנע את חשיפת התקיפה, עם מינימום נזק למטרות ישראליות. מידע זה ומידע רלוונטי נוסף שותף עם גורמי הביטחון.

לעת עתה, Viceleaker איננו פעיל עוד, אולם הרושם הוא שהתוקפים מחפשים דרכי פעולה חדשות. למעשה, בקספרסקי חוקרים כעת האם הקבוצה המדוברת עשויה להיות גם מאחורי התקפה בקנה מידה גדול יותר על אתרי אינטרנט, באמצעות הזרקת קוד SQL והתקנת תוכנות שליטה. גם אם לא ימצא קשר ישיר בין התקיפה על מכשירי הסלולר לבין התקיפה על אתרי האינטרנט, הדבר יעיד על יכולות מגוונות של התוקפים.

קספרסקי מזהה ועוצרת תקיפות אלו. עם זאת, מומלץ למשתמשים לוודא כי תוכנת הגנה מותקנת על הטלפון. קספרסקי ממליצה שלא לפתוח אפליקציות שאינן ממקור מהימן או שאינן מגיעות מחנויות האפליקציות.

שתף.

.