אפליקציית צ'אט מרגלת אחרי משתמשים במזרח התיכון ומדליפה מהם נתונים

למאמר הבא
ESET

ESET ישראל - אפליקציית צ'אט מרגלת אחרי משתמשים במזרח התיכון ומדלי

חוקרי ESET גילו מתקפה חדשה המהווה חלק מקמפיין ריגול-סייבר מתמשך במזרח התיכון, שככל הנראה קשור לקבוצת פושעי סייבר הידועה בשם Gaza Hackers או Molerats.

כלי הנשק במתקפה זו הוא אפליקציה לאנדרואיד, Welcome Chat, המשמשת כרוגלה אך מאפשרת לשוחח בצ'אטים כפי שהיא מבטיחה. באתר הזדוני שמקדם ומפיץ את האפליקציה מובטח כי היא מציעה פלטפורמת שיחות צ'אט בטוחה שזמינה בחנות האפליקציות Google Play. אך שתי הטענות האלו הן שקריות ועל פי החוקרים הטענה בנוגע ל"בטיחות" האפליקציה היא שקר של ממש.

אתר האפליקציה הזדונית – Welcome Chat app

"אפליקציית Welcome Chat היא אמנם כלי ריגול, אך נוסף על החטא של גניבת המידע, התוקפים מאפשרים לכל אדם ברשת לגשת למידע האישי שנאסף באמצעותה. בנוסף, האפליקציה אף פעם לא הייתה זמינה להורדה בחנות האפליקציות של אנדרואיד", כך אומר לוקאש סטפנקו, חוקר אבטחת המידע של ESET.

אפליקציית Welcome Chat מתנהגת כמו כל אפליקציית שיחות צ'אט שאינה זמינה בחנות האפליקציות הרשמית: צריך לאפשר התקנה ממקורות חיצוניים כדי להתקין אותה. לאחר ההתקנה, היא מבקשת הרשאה לשליחת וקריאת הודעות SMS, להקלטת סאונד וגישה לקבצים, אנשי קשר ונתוני מיקום. ברגע שהמשתמש מאשר הרשאות אלו לאפליקציה, היא מתחילה לקבל הוראות משרת השליטה והבקרה שלה והיא מעלה אליו את כל הנתונים שהצליחה לאסוף. האפליקציה לא מעלה רק את שיחות הצ'אט שבתוכה, אלא גם את הודעות ה-SMS שבמכשיר, את היסטוריית השיחות, רשימת אנשי הקשר, תמונות, הקלטות שיחות ואת מיקום המכשיר.

הרשאות אותן האפליקציה מבקשת

“לרוע מזלם של הקורבנות, אפליקציית Welcome Chat והתשתית עליה היא מבוססת לא תוכננו להיות בטוחות. המידע המועבר אינו מוצפן, ולכן הוא זמין לא רק לתוקפים אלא גם לכל מכשיר אחר שנמצא באותה הרשת", אומר סטפנקו.

חוקרי ESET ניסו לגלות האם אפליקציית Welcome Chat היא אפליקציה קיימת שעליה נוסף קוד זדוני או אפליקציה זדונית שפותחה למטרה זו בלבד. "עשינו את מיטב המאמצים כדי למצוא גרסה נקייה של האפליקציה הזו, במטרה להודיע למפתחיה על פרצת האבטחה שבה. אנו מניחים ברמת ביטחון די גבוהה שאין גרסה נקייה של האפליקציה הזו. כמובן, לא ניסינו ליצור קשר עם קבוצת הסייבר שעומדת מאחורי מתקפת הריגול הזו", מסביר סטפנקו.

אפליקציית Welcome Chat שייכת למשפחה מוכרת של נוזקות אנדרואיד, והתשתית שעליה היא בנויה נוצלה גם לקמפיין ריגול אחר ששמו BadPatch, שגם הוא כוון אל מטרות במזרח התיכון. קמפיין BadPatch שויך לקבוצת התקיפה Gaza Hackers הידועה גם בשם Molerats. המידע הזה גורם לנו להאמין שגם מתקפה זו מגיעה מאותה הקבוצה.

אמנם מבצע הריגול הזה פונה לטווח מטרות קטן יחסית, אך אנו ממליצים למשתמשים שלא להתקין אפליקציות מחוץ לחנות Google Play – למעט מקורות בטוחים כמו אתר אינטרנט של ספק ידוע של מוצרי אבטחה או של מוסד פיננסי בעל שם.

מעבר לכך, אנו ממליצים למשתמשים להיות ערניים להרשאות שהאפליקציות במכשיריהם מבקשות ולהתייחס בחשדנות לכל אפליקציה שמבקשת יותר הרשאות ממה שהיא צריכה. כמובן, אנו ממליצים למשתמשים להתקין פתרון אבטחה מהימן על מכשיריהם כאמצעי אבטחה ראשוני.