एंड्रॉइड मैसेजिंग मैलवेयर लक्ष्य तिब्बती कार्यकर्ता

एक प्रमुख तिब्बती राजनीतिक व्यक्ति को लक्षित करने वाले एंड्रॉइड स्पाइवेयर के एक टुकड़े का विश्लेषण बताता है कि यह पीड़ित के सटीक स्थान को जानने के लिए बनाया गया हो सकता है।

शोध, टोरंटो विश्वविद्यालय में नागरिक प्रयोगशाला द्वारा किया गया शोध मंक स्कूल ऑफ ग्लोबल अफेयर्स, एक चल रही परियोजना का हिस्सा है जो देख रहा है कि कैसे तिब्बती समुदाय को परिष्कृत साइबरपिंग अभियानों द्वारा लक्षित किया जा रहा है।

नागरिक लैब ने जनवरी में तिब्बती स्रोत से काकाओ टॉक नामक एक आवेदन का नमूना प्राप्त किया था। अपने ब्लॉग के लिए। दक्षिण कोरियाई कंपनी द्वारा बनाई गई काकाओ टॉक एक संदेश एप्लिकेशन है जो उपयोगकर्ताओं को फोटो, वीडियो और संपर्क जानकारी का आदान-प्रदान करने देता है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

आवेदन जनवरी को प्राप्त हुआ था 16 "तिब्बती समुदाय में उच्च प्रोफ़ाइल राजनीतिक व्यक्ति" द्वारा ईमेल के माध्यम से, नागरिक लैब ने लिखा। लेकिन ईमेल को ऐसा लगता था कि यह एक सूचना सुरक्षा विशेषज्ञ से आया था, जिसने दिसंबर में तिब्बती आंकड़े के साथ पिछले संपर्क किया था।

उस समय, सुरक्षा विशेषज्ञ ने तिब्बती कार्यकर्ता को काकाओ टॉक के एंड्रॉइड एप्लिकेशन पैकेज का वैध संस्करण भेजा था वीकैट का उपयोग करने के विकल्प के रूप में फ़ाइल (एपीके), एक और चैट क्लाइंट, सुरक्षा चिंताओं के कारण वीकैट का इस्तेमाल संचार की निगरानी के लिए किया जा सकता है।

लेकिन एंड्रॉइड के लिए काकाओ टॉक का संस्करण पीड़ित के संपर्क, एसएमएस और मोबाइल रिकॉर्ड करने के लिए संशोधित किया गया था फोन नेटवर्क कॉन्फ़िगरेशन और इसे रिमोट सर्वर पर प्रेषित करें, जिसे बैडु, चीनी पोर्टल और सर्च इंजन की नकल करने के लिए बनाया गया था।

मैलवेयर आधार स्टेशन आईडी, टावर आईडी, मोबाइल नेटवर्क कोड जैसी जानकारी रिकॉर्ड करने में सक्षम है। फोन के क्षेत्र कोड, नागरिक लैब ने कहा। वह जानकारी आमतौर पर धोखाधड़ी या पहचान की चोरी को दूर करने की कोशिश कर रहे स्कैमर के लिए अधिक उपयोग नहीं होती है।

लेकिन यह एक ऐसे हमलावर के लिए उपयोगी है जिसके पास मोबाइल संचार प्रदाता के तकनीकी आधारभूत संरचना तक पहुंच है।

"यह लगभग निश्चित रूप से इस सूचना का प्रतिनिधित्व करता है कि एक सेलुलर सेवा प्रदाता को छिपाने की आवश्यकता होती है, जिसे अक्सर 'जाल और ट्रेस' कहा जाता है, "नागरिक लैब ने लिखा। "इस स्तर पर अभिनेताओं को कई छोटे टावरों से सिग्नल डेटा के आधार पर रेडियो आवृत्ति त्रिभुज करने के लिए आवश्यक डेटा तक पहुंच होगी, जिससे उपयोगकर्ता को एक छोटे भौगोलिक क्षेत्र में रखा जा सके।"

नागरिक लैब ने नोट किया कि उनका सिद्धांत सट्टा है और "यह संभव है कि इस डेटा को ऐसे सेलुलर नेटवर्क की जानकारी के बिना एक अभिनेता द्वारा अवसरवादी रूप से इकट्ठा किया जा रहा है।"

काकाओ टॉक के छेड़छाड़ वाले संस्करण में कई संदिग्ध लक्षण हैं: यह जाली प्रमाण पत्र का उपयोग करता है और चलाने के लिए अतिरिक्त अनुमति मांगता है एक एंड्रॉइड डिवाइस। एंड्रॉइड डिवाइस आमतौर पर Google के Play store के बाहर से एप्लिकेशन इंस्टॉल करने से मना करते हैं, लेकिन उस सुरक्षा सावधानी को अक्षम किया जा सकता है।

यदि उपयोगकर्ताओं को अतिरिक्त अनुमति देने में धोखा दिया जाता है, तो एप्लिकेशन चलाएगा। नागरिक लैब नोट करता है कि तिब्बतियों के पास Google के Play store तक पहुंच नहीं हो सकती है और उन्हें कहीं और होस्ट किए गए एप्लिकेशन इंस्टॉल करना होगा, जो उन्हें उच्च जोखिम पर रखता है।

नागरिक लैब ने लकाउट मोबाइल सिक्योरिटी द्वारा बनाए गए तीन मोबाइल एंटीवायरस स्कैनर के खिलाफ काकाओ टॉक के छेड़छाड़ किए गए संस्करण का परीक्षण किया, अवास्ट और कास्पर्स्की लैब 6 फरवरी और 27 मार्च को। किसी भी उत्पाद ने मैलवेयर का पता नहीं लगाया।

नागरिक लैब ने लिखा कि यह खोज उन लोगों को दिखाती है जो तिब्बती समुदाय को लक्षित कर रहे हैं, जल्दी ही अपनी रणनीति बदलते हैं।

जैसे ही चर्चा शुरू हुई वीकैट से दूर जाने के लिए, हमलावरों ने "इस परिवर्तन का लाभ उठाया, एक वैध संदेश को डुप्लिकेट किया और एक संभावित विकल्प के रूप में प्रसारित किए जा रहे आवेदन के दुर्भावनापूर्ण संस्करण का उत्पादन किया।" नागरिक लैब ने लिखा।