קספרסקי איתרו התקפה מקוונת על מכשירי אנדרואיד

ב-24 במרץ איתרו מומחי חברת קספרסקי התקפה מקוונת ייחודית נגד גורמים טיבטיים ופעילי זכויות אדם.

במועד זה נפרצה תיבת המייל של פעיל טיבטי בולט, ממנה נשלחו הודעות מייל מסוג "דיוג" (Phishing) לרשימת אנשי הקשר שלו. הודעת המייל, לכאורה בדבר הקונגרס העולמי של האויגורים ב-22 במרץ 2013, כללה צרופה בשם WUC's Conference מסוג APK – קובץ Android Package.

לדברי המומחים, קובץ זה הוא נוזקה שזוהתה על ידם בעבר בשם "Backdoor.AndroidOS.Chuli.a". לאחר פתיחת הקובץ במכשיר מסוג Android, נפתחת תיקיה בשם Conference על "שולחן העבודה" של הסמארטפון.

עם פתיחת התיקיה הוצגה בפני המשתמש הודעה בדבר הארוע הצפוי;

כאשר קרא הקורבן את ההודעה, העבירה בינתיים הנוזקה בחשאי מידע על ההדבקה לשרת פיקוד ושליטה. לאחר מכן החלה הנוזקה לאסוף מידע על המכשיר הנגוע ובכלל זה; אנשי קשר (הן אלו שעל זכרון המכשיר והן אלו שעל כרטיס ה-SIM); רישום השיחות; הודעות SMS; מיקום פיזי; נתונים כללים אודות המכשיר.

ברגע המתאים, מצפינה הנוזקה את המידע ושולחת אותו לשרת הפיקוד והשליטה המצוי בארה"ב ונרכש בתחילת חודש מרץ על ידי חברה סינית. חוקרי קספרסקי הצליחו לנתח את הנעשה על שרת זה אשר לטענתם הותקן כך שיתאים לשפה הסינית. אלו מצביעים על התוקפים כדוברי סינית ומציינים כי למרות ההתקפות הרבות מספור בפניהם מצויים פעילים טיבטיים ואויגורים, הרי שמרביתן הן נגד מערכות מחשב חלונאיות, הם מציינים כי זו הפעם הראשונה בה נתקלו בהתקפה מקוונת נגד מכשירים סלולריים באופן שכזה.

התוקפים הסתמכו לחלוטין על הנדסה חברתית במטרה להשפיע על הקורבנות לפתוח את הקובץ שהגיע ממקור המוכר להם היטב ובכך לגרום להדבקת מכשיר הטלפון שלהם, גניבת כל הנתונים שבו ושליחתם בצורה מוצפנת לשרת מרוחק הנשלט ככל הנראה על ידי ידיים סיניות.