Perangkat lunak pesan Android malware menargetkan aktivis Tibet

Analisis sepotong spyware Android yang menargetkan tokoh politik Tibet yang terkenal menunjukkan bahwa itu mungkin telah dibangun untuk mencari tahu lokasi korban yang tepat.

Penelitian, yang dilakukan oleh Lab Citizen di Universitas Toronto Munk School of Global Affairs, adalah bagian dari proyek yang sedang berlangsung yang melihat bagaimana komunitas Tibet terus menjadi sasaran oleh kampanye cyberspying canggih.

Citizen Lab memperoleh contoh aplikasi yang disebut KaKaoTalk dari sumber Tibet pada bulan Januari, menurut ke blognya. KaKaoTalk, dibuat oleh perusahaan Korea Selatan, adalah aplikasi pengiriman pesan yang juga memungkinkan pengguna bertukar foto, video, dan informasi kontak.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Aplikasi diterima pada Jan 16 melalui email oleh "tokoh politik profil tinggi di komunitas Tibet," tulis Citizen Lab. Tapi email itu dipalsukan agar terlihat seperti berasal dari pakar keamanan informasi yang pernah berhubungan dengan tokoh Tibet pada bulan Desember.

Saat itu, pakar keamanan telah mengirim aktivis Tibet itu versi yang sah dari Paket Aplikasi Android KaKaoTalk File (APK) sebagai alternatif untuk menggunakan WeChat, klien obrolan lain, karena masalah keamanan yang WeChat dapat digunakan untuk memantau komunikasi.

Tapi versi KaKaoTalk untuk Android telah dimodifikasi untuk merekam kontak, SMS, dan ponsel korban konfigurasi jaringan telepon dan mengirimkannya ke server jarak jauh, yang telah dibuat untuk meniru Baidu, portal Cina, dan mesin telusur.

Perangkat lunak perusak mampu mencatat informasi seperti ID stasiun dasar, ID menara, kode jaringan seluler, dan kode area telepon, kata Lab Citizen. Informasi itu biasanya tidak banyak berguna bagi scammer yang mencoba melakukan penipuan atau pencurian identitas.

Tapi ini berguna untuk penyerang yang memiliki akses ke infrastruktur teknis penyedia komunikasi seluler.

"Hampir pasti mewakili informasi yang diperlukan penyedia layanan seluler untuk memulai penyadapan, sering disebut sebagai 'perangkap dan jejak', ”tulis Citizen Lab. "Aktor di level ini juga akan memiliki akses ke data yang diperlukan untuk melakukan triangulasi frekuensi radio berdasarkan data sinyal dari beberapa menara, menempatkan pengguna dalam area geografis yang kecil."

The Citizen Lab mencatat bahwa teori mereka bersifat spekulatif dan bahwa "ada kemungkinan bahwa data ini dikumpulkan secara oportunistik oleh seorang aktor tanpa akses ke informasi jaringan seluler semacam itu."

Versi rusak dari KaKaoTalk memiliki banyak ciri yang mencurigakan: ia menggunakan sertifikat palsu dan meminta izin tambahan untuk berjalan di perangkat Android. Perangkat Android biasanya melarang menginstal aplikasi dari luar Play Store Google, tetapi tindakan pencegahan keamanan itu dapat dinonaktifkan.

Jika pengguna ditipu untuk memberikan izin tambahan, aplikasi akan berjalan. Citizen Lab mencatat bahwa orang Tibet mungkin tidak memiliki akses ke Google Play store dan harus menginstal aplikasi yang dihosting di tempat lain, yang menempatkan mereka pada risiko yang lebih tinggi.

Lab Citizen menguji versi rusak dari KaKaoTalk terhadap tiga pemindai antivirus mobile yang dibuat oleh Lookout Mobile Security, Avast dan Kaspersky Lab pada 6 Februari dan 27 Maret. Tak satu pun dari produk mendeteksi malware.

Citizen Lab menulis bahwa temuan itu menunjukkan mereka yang menargetkan komunitas Tibet dengan cepat mengubah taktik mereka.

Segera setelah diskusi dimulai untuk menjauh dari WeChat, para penyerang "memanfaatkan perubahan ini, menduplikasi pesan yang sah dan menghasilkan versi jahat dari aplikasi yang disirkulasikan sebagai alternatif yang mungkin," tulis Citizen Lab.