אפליקציית צ'ט מרגלת אחרי משתמשים במזרח התיכון ומדליפה מהם נתונים

נחשפה מתקפה חדשה, המהווה חלק מקמפיין ריגול בסייבר מתמשך במזרח התיכון – כך דיווחה אתמול (ג') ESET. חוקרי חברת אבטחת המידע סבורים שהקמפיין קשור לקבוצת פושעי סייבר הידועה בשם Gaza Hackers, הידועה גם בשם Molerats. לא נמסר האם ובכמה מטרות ישראליות ההאקרים הצליחו לפגוע.

כלי הנשק במתקפה זו הוא Welcome Chat – אפליקציה לאנדרואיד המשמשת כרוגלה, אך מאפשרת לשוחח בצ'טים כפי שהיא מבטיחה. באתר הזדוני שמקדם ומפיץ את האפליקציה מבטיחים ההאקרים שהיא מציעה פלטפורמת שיחות צ'ט בטוחה, שזמינה ב-Google Play. אולם, כך לפי החוקרים, שתי הטענות האלה שקריות, "והטענה בנוגע ל-'בטיחות' האפליקציה היא שקר של ממש".

לא לאשר. Welcome Chat

"אפליקציית Welcome Chat היא אמנם כלי ריגול, אך נוסף על החטא של גניבת המידע, התוקפים מאפשרים לכל אדם ברשת לגשת למידע האישי שנאסף באמצעותה. בנוסף, האפליקציה אף פעם לא הייתה זמינה להורדה בחנות האפליקציות של אנדרואיד", אמר לוקאש סטפנקו, חוקר אבטחת המידע ב-ESET.

כך פועלת האפליקציה

אפליקציית Welcome Chat מתנהגת כמו כל אפליקציית שיחות צ'ט שלא זמינה בחנויות האפליקציות הגדולות: צריך לאפשר התקנה ממקורות חיצוניים כדי להתקין אותה. לאחר ההתקנה, היא מבקשת הרשאה לשליחת וקריאת הודעות SMS, להקלטת סאונד ולגישה לקבצים, אנשי קשר ונתוני מיקום. ברגע שהמשתמש מאשר הרשאות אלה לאפליקציה, היא מתחילה לקבל הוראות משרת השליטה והבקרה שלה ומעלה אליו את כל הנתונים שהצליחה לאסוף. האפליקציה לא מעלה רק את שיחות הצ'ט שבתוכה, אלא גם את הודעות ה-SMS שבמכשיר, את היסטוריית השיחות, רשימת אנשי הקשר, התמונות, הקלטות השיחות ואת מיקום המכשיר.

"לרוע מזלם של הקורבנות, אפליקציית Welcome Chat והתשתית עליה היא מבוססת לא תוכננו להיות בטוחות. המידע המועבר אינו מוצפן, ולכן הוא זמין לא רק לתוקפים, אלא גם לכל מכשיר אחר שנמצא באותה הרשת", אמר סטפנקו.

חוקרי ESET ניסו לגלות האם Welcome Chat היא אפליקציה קיימת שההאקרים הוסיפו עליה נוזקה או יישומון זדוני שפותח למטרה זו בלבד. "עשינו את מיטב המאמצים כדי למצוא גרסה נקייה של האפליקציה הזו, במטרה להודיע למפתחיה על פרצת האבטחה שבה. אנחנו מניחים ברמת ביטחון די גבוהה שאין גרסה נקייה של האפליקציה הזו. כמובן, לא ניסינו ליצור קשר עם קבוצת הסייבר שעומדת מאחורי מתקפת הריגול הזו", ציין סטפנקו.

אפליקציית Welcome Chat שייכת למשפחה מוכרת של נוזקות אנדרואיד, והתשתית שעליה היא בנויה נוצלה גם לקמפיין ריגול אחר, ששמו BadPatch – שגם הוא כוון למטרות במזרח התיכון. קמפיין BadPatch שויך לקבוצת התקיפה Gaza Hackers. "המידע הזה גורם לנו להאמין שגם מתקפה זו מגיעה מאותה הקבוצה", ציינו החוקרים.

החוקרים ממליצים למשתמשי האנדרואיד שלא להתקין אפליקציות ממקורות שאינם החנות הרשמית של גוגל,Google Play , למעט אם מדובר במקורות בטוחים, כמו אתר אינטרנט של ספק ידוע של מוצרי אבטחה או של מוסד פיננסי בעל שם. מעבר לכך, הם ממליצים למשתמשים להיות ערניים להרשאות שהאפליקציות במכשיריהם ולהתייחס בחשדנות לכל אפליקציה שמבקשת יותר הרשאות ממה שהיא צריכה.