Поддельные версии популярных зашифрованных приложений обмена сообщениями и конфиденциальности были обнаружены в дикой природе. Предполагается, что поддельные версии Whatsapp, Telegram, Signal и PsiphonVPN были созданы хакерами, предположительно работающими на правительство Ливана. Злые приложения заставляют пользователей поверить, что их сообщения шифруются. Однако в действительности ливанские хакеры используют целенаправленно созданные бэкдоры и вредоносные программы для отслеживания переписок пользователей..


Согласно отчету, опубликованному компанией мобильной безопасности Lookout и Electronic Frontier Foundation, хакеры были связаны с центральным разведывательным агентством Ливана. Отчет показывает, что жертвы в 20 странах, вероятно, загрузили контрафактные версии популярных приложений безопасности.

Опасные трояны

Вредоносные приложения могут выглядеть почти идентичными их законным аналогам. Это не дает пользователям реального способа узнать, что на их устройствах происходит что-то неприятное. По этому случаю жертвы загружали гнусные приложения из неофициальных онлайн-магазинов приложений. После установки вместо предоставления надежно зашифрованных сообщений (защищенных протоколом Open Whisper Signal) - приложение ведет себя как троян.

Трояны являются чрезвычайно мощным видом вредоносного ПО, которое позволяет хакерам контролировать функции устройства. Это включает в себя чтение корреспонденции и SMS-сообщений, доступ к электронной почте, включение микрофона и камеры, просмотр контактов, включение GPS, а также доступ к фотографиям и любым другим данным, содержащимся на взломанном устройстве..

Ливанская связь

Отчет, опубликованный Lookout, называется "Темный Каракал: Кибершпионаж в глобальном масштабе". По словам исследователей кибербезопасности в Lookout, они обнаружили доказательства, которые указывают на участие государственного субъекта. Согласно Lookout, эта связь была установлена ​​в связи с обнаружением испытательных устройств в штаб-квартире Главного управления общей безопасности (GDGS) Ливана в Бейруте:

«Устройства для тестирования и эксплуатации кампании были обнаружены в здании, принадлежащем ливанскому Генеральному директорату общей безопасности (GDGS), одному из ливанских спецслужб. Основываясь на имеющихся данных, вполне вероятно, что GDGS связан или непосредственно поддерживает актеров, стоящих за Темным Каракалом ».

Опубликованные документы свидетельствуют о том, что спонсируемые государством хакеры похитили как личную информацию, так и интеллектуальную собственность у жертв, в том числе «военнослужащих, предприятий, медицинских работников, активистов, журналистов, юристов и образовательных учреждений».

Операция Манул

Согласно EFF, Dark Caracal может быть связан с ранее открытой хакерской кампанией под названием Operation Manul. Эта кампания была обнаружена в прошлом году и была нацелена на адвокатов, журналистов, активистов и диссидентов из Казахстана, которые критикуют действия режима президента Нурсултана Назарбаева..

В отличие от «Операции Манул» (PDF), Темный Каракал, похоже, превратился в международную хакерскую кампанию, нацеленную на глобальные цели. Майк Мюррей, вице-президент службы безопасности в Lookout, прокомментировал:

«Dark Caracal является частью тенденции, которую мы наблюдаем в течение последнего года, когда традиционные участники APT переходят на использование мобильных устройств в качестве основной целевой платформы..

«Угроза Android, которую мы определили, используемая Dark Caracal, является одним из первых глобально активных мобильных APT, о которых мы публично говорили».

На самом деле, согласно отчету Lookout, Dark Caracal был активен еще в 2012 году. Это означает, что спонсируемые ливанцами хакеры накапливают опыт и знания уже довольно давно. В отчете также разъясняется, что Темный Каракал по-прежнему очень активен и вряд ли скоро уйдет.

Таким образом, этот хакерский инцидент служит напоминанием о том, что не только крупные государственные субъекты, такие как США, Великобритания, Россия и Китай, имеют в своем распоряжении возможности глобальной кибервойны..

Вектор атаки

Работа, предпринятая исследователями в Lookout, показывает, что жертвы изначально становятся жертвами социальной инженерии и фишинговых атак. Успешная фишинговая атака используется для доставки вредоносного ПО Pallas и ранее неизвестной модификации FinFisher. Фишинговая инфраструктура Dark Caracal включает в себя поддельные порталы для популярных сайтов, таких как Facebook и Twitter.

Методы фишинга используются для направления жертв на «водопойный» сервер, где зараженные версии популярных приложений для обеспечения безопасности и конфиденциальности распространяются на их устройства. Также были обнаружены поддельные профили Facebook, помогающие распространять вредоносные ссылки на зараженные версии Whatsapp и других мессенджеров..

После заражения троянским приложением, содержащим Pallas, хакеры могут доставлять вторичные полезные данные из командования и управления (C&В) сервер. Среди обнаруженных исследователями зараженных приложений была поддельная версия PsiphonVPN и зараженная версия Orbot: TOR proxy..

Исследователи также обнаружили, что Паллас «скрывается в нескольких приложениях, называемых Adobe Flash Player и Google Play Push для Android».

Простой, но эффективный

В конце концов, методы, используемые Темным Каракалом, очень распространены и не могут считаться особенно сложными. Несмотря на это, эта хакерская кампания служит ярким напоминанием о том, что в 2018 году кибервойна, скорее всего, станет одновременно очень плодовитой и глобальной угрозой. Инструменты для этого типа взлома перекрестно опыляются от одного субъекта состояния к другому, и пугающие возможности, которые они предоставляют хакерам, приводят к серьезному проникновению, которое даже двухфакторная аутентификация не может защитить пользователей от.

Как всегда, мы рекомендуем вам быть очень осторожными при открытии сообщений. Социальный фишинг предназначен для того, чтобы заманить вас - поэтому подумайте дважды, прежде чем нажимать на ссылку. Кроме того, если вам требуется приложение, всегда обращайтесь в официальный магазин приложений, так как это значительно снизит ваши шансы покончить с зараженным приложением. Наконец, пользователям Виртуальной частной сети (VPN) также напоминают, что они должны быть чрезвычайно осторожными при получении своего программного обеспечения VPN, всегда гарантируя получение его из законного источника..

Мнения автора.

Название изображения: Ink Drop / Shutterstock.com

Изображение предоставлено: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me