Malware för Android-meddelanden är inriktad mot tibetanska aktivister

En analys av en del Android-spionprogram som riktar sig till en framträdande tibetansk politisk figur antyder att det kan ha blivit byggt för att ta reda på offerets exakta plats.

Forskningen som utförs av Citizen Lab vid University of Toronto Munk School of Global Affairs är en del av ett pågående projekt som tittar på hur det tibetanska samhället fortsätter att riktas mot sofistikerade cyberspying-kampanjer.

Citizen Lab erhöll ett prov av en ansökan som heter KaKaoTalk från en tibetansk källa i januari, enligt till sin blogg. KaKaoTalk, som gjorts av ett sydkoreanskt företag, är en meddelandeprogram som också tillåter användare att byta foton, videor och kontaktuppgifter.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Ansökan mottogs den Jan.16 via e-post av en "högprofil politisk figur i det tibetanska samhället", skrev Citizen Lab. Men e-posten var smidd för att se ut som om den hade kommit från en informationssäkerhetsexpert som tidigare hade kontakt med den tibetanska figuren i december.

Vid den tiden hade säkerhetseksperten skickat den tibetanska aktivisten till en legitim version av KaKaoTalks applikationspaket för Android Fil (APK) som ett alternativ till att använda WeChat, en annan chattklient, på grund av säkerhetsbekymmer att WeChat kan användas för att övervaka kommunikation.

Men versionen av KaKaoTalk for Android hade ändrats för att spela in offrets kontakter, sms och mobil telefonnätverkskonfigurationen och överföra den till en fjärrserver som skapats för att efterlikna Baidu, den kinesiska portalen och sökmotorn.

Malware kan spela in information som basstations-ID, torn ID, mobilnätkod och telefonnummer, Citizen Lab sa. Den informationen är vanligtvis inte särskilt användbar för en bedragare som försöker dra av bedrägeri eller identitetsstöld.

Men det är användbart för en angripare som har tillgång till en mobilkommunikationsleverantörs tekniska infrastruktur.

"Det är nästan säkert representerar den information som en mobilleverantör behöver för att initiera avlyssning, ofta kallad "fälla och spår", skrev Citizen Lab. "Skådespelare på denna nivå skulle också ha tillgång till de data som krävs för att utföra radiofrekvens triangulering baserat på signaldata från flera torn, placera användaren inom ett litet geografiskt område."

Citizen Lab noterade att deras teori är spekulativ och att "det är möjligt att denna data samlas opportunistiskt av en skådespelare utan tillgång till sådan mobilnätinformation."

Den manipulerade versionen av KaKaoTalk har många misstänkta drag: den använder ett smidd certifikat och begär att extra behörigheter ska köras en Android-enhet. Android-enheter förbjuder vanligtvis att installera program från externa Googles Play-butik, men den säkerhetsåtgärden kan inaktiveras.

Om användarna luras på att ge extra behörigheter, körs programmet. Citizen Lab noterar att tibetanerna kanske inte har tillgång till Googles Play-butik och måste installera program som är värd på andra håll, vilket ger dem en högre risk.

Citizen Lab testade den manipulerade versionen av KaKaoTalk mot tre mobila antivirusskannrar gjorda av Lookout Mobile Security, Avast och Kaspersky Lab den 6 februari och 27 mars. Ingen av produkterna upptäckte skadlig programvara.

Citizen Lab skrev att upptäckten visar att de som riktar sig mot det tibetanska samhället snabbt byter taktik.

Så snart diskussionerna började att flytta från WeChat, angriparna "utnyttjade denna förändring, duplicera ett legitimt meddelande och producera en skadlig version av en ansökan som cirkuleras som ett möjligt alternativ," skrev Citizen Lab.