אפליקציית צ'אט מרגלת אחרי משתמשים במזה״ת

חוקרי ESET גילו קמפיין סייבר מתמשך במזרח התיכון המתנהל באמצעות אפליקציית צ'אט זדונית שמרגלת אחר המשתמשים ומדליפה מהם נתונים. הקמפיין קשור ככל הנראה לקבוצת פושעי הסייבר Gaza Hackers

צילום מסך של האפליקציה הזדונית

 

חוקרי חברת אבטחת המידע ESET גילו מתקפה חדשה המהווה חלק מקמפיין ריגול סייבר מתמשך במזרח התיכון, שככל הנראה קשור לקבוצת פושעי סייבר הידועה בשם Gaza Hackers, או Molerats.

כלי הנשק במתקפה זו הוא אפליקציה לאנדרואיד הקרויה Welcome Chat, המאפשרת לשוחח בצ׳אטים אך למעשה משמשת כרוגלה. באתר הזדוני שמקדם ומפיץ את האפליקציה מובטח כי היא מציעה פלטפורמת שיחות צ'אט בטוחה שאף זמינה בחנות האפליקציות Google Play. על פי החוקרים, מדובר בשקר של ממש.

"אפליקציית Welcome Chat היא אמנם כלי ריגול, אך נוסף על החטא של גניבת המידע, התוקפים מאפשרים לכל אדם ברשת לגשת למידע האישי שנאסף באמצעותה. בנוסף, היא אף פעם לא הייתה זמינה להורדה בחנות האפליקציות של אנדרואיד", כך אומר לוקאש סטפנקו, חוקר אבטחת המידע של ESET.

האפליקציה הזדונית מתנהגת כמו כל אפליקציית שיחות צ'אט שאינה זמינה בחנות הרשמית: צריך לאפשר התקנה ממקורות חיצוניים כדי להתקין אותה. לאחר ההתקנה, היא מבקשת הרשאה לשליחת וקריאת הודעות SMS, להקלטת סאונד וגישה לקבצים, אנשי קשר ונתוני מיקום. ברגע שהמשתמש נותן הרשאות אלו, מתחילה האפליקציה לקבל הוראות משרת השליטה והבקרה שלה ומעלה אליו את כל הנתונים שהצליחה לאסוף. האפליקציה לא מעלה רק את שיחות הצ'אט שבתוכה, אלא גם את הודעות ה-SMS שבמכשיר, את היסטוריית השיחות, רשימת אנשי הקשר, תמונות, הקלטות שיחות ואת מיקום המכשיר.

“לרוע מזלם של הקורבנות, אפליקציית Welcome Chat והתשתית עליה היא מבוססת לא תוכננו להיות בטוחות. המידע המועבר אינו מוצפן, ולכן הוא זמין לא רק לתוקפים אלא גם לכל מכשיר אחר שנמצא באותה הרשת", אומר סטפנקו.

חוקרי ESET ניסו לגלות מדובר באפליקציה קיימת שעליה נוסף קוד זדוני, או במשהו חדש שפותח למטרה זו בלבד. "עשינו את מיטב המאמצים כדי למצוא גרסה נקייה של האפליקציה הזו, במטרה להודיע למפתחיה על פרצת האבטחה שבה. אנו מניחים ברמת ביטחון די גבוהה שאין גרסה נקייה. כמובן, לא ניסינו ליצור קשר עם קבוצת הסייבר שעומדת מאחורי מתקפת הריגול הזו", מסביר סטפנקו.

Welcome Chat  שייכת למשפחה מוכרת של נוזקות אנדרואיד, והתשתית עליה היא בנויה נוצלה גם לקמפיין ריגול אחר ששמו BadPatch, שגם הוא כוון אל מטרות במזרח התיכון. קמפיין זה שויך לקבוצת התקיפה Gaza Hackers, הידועה גם בשם Molerats. מידע זה גורם לחוקרים להאמין שגם מתקפה זו מגיעה מאותה הקבוצה.

אמנם מבצע הריגול הזה פונה לטווח מטרות קטן יחסית, אך חברת ESET ממליצה למשתמשים שלא להתקין אפליקציות מחוץ לחנות Google Play, למעט מקורות בטוחים כגון אתר אינטרנט של ספק מוצרי אבטחה ידוע, או של מוסד פיננסי בעל שם. מעבר לכך, ממליצה החברה למשתמשים לגלות ערנות להרשאות שהאפליקציות במכשיריהם מבקשות ולהתייחס בחשדנות לכל אפליקציה שמבקשת יותר הרשאות ממה שהיא צריכה, וכמובן – להתקין פתרון אבטחה מהימן על מכשיריהם כאמצעי אבטחה ראשוני.