Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Check Point Research analisa uma campanha de vigilância de 7 anos que visa a maior minoria na China

Check Point Research analisa uma campanha de vigilância de 7 anos que visa a maior minoria na China
Share it:

 Check Point Research analisa uma campanha de vigilância de 7 anos que visa a maior minoria na China 

  • A Check Point Research (CPR) examinou uma longa campanha de vigilância móvel, que visa a maior minoria da China: os Uyghurs.
  • A campanha é atribuída ao grupo Scarlet Mimic hacking, que utilizou mais de 20 variações diferentes do seu malware Android, disfarçado em varios conteúdos relacionados com os Uyghur, tais como livros, imagens, e até uma versão áudio do Alcorão.
  • As características do malware permitiram aos atacantes roubar facilmente dados sensíveis do dispositivo infetado, bem como efetuar chamadas ou enviar um SMS em nome da vítima e seguir a sua localização em tempo real

A Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, observou recentemente uma nova onda de uma longa campanha dirigida à comunidade Uyghur, um grupo étnico turco originário da Ásia Central, um dos maiores grupos étnicos minoritários da China. Esta atividade, que foi atribuída ao interveniente chamado Scarlet Mimic, que foi revelado pela primeira vez em 2016 com uma campanha que visava os ativistas dos direitos das minorias Uyghur e Tibetana. Não é claro quem está por detrás da Scarlet Mimic, mas relatórios têm sugerido que esta poderia estar ligada à China, que foi anteriormente acusada de hacking e vigilância em relação aos Uyghurs.

Desde então, a CPR tem observado o grupo utilizando mais de 20 variações diferentes do seu malware Android, disfarçado em múltiplos conteúdos relacionados com os Uyghur, tais como livros, imagens, e até uma versão áudio do Alcorão. O malware é relativamente pouco sofisticado de um ponto de vista técnico. Contudo, as suas capacidades permitem que os atacantes roubem facilmente dados sensíveis dos dispositivos infetados, realizem mesmo chamadas ou enviem um SMS e rastreiem a sua localização em tempo real. Isto torna-o uma ferramenta de vigilância poderosa e perigosa. Esta ferramenta permite também a gravação áudio de chamadas recebidas e efetuadas, bem como o som envolvente.

Visão geral da campanha

Desde a primeira descoberta em 2015, foram identificadas mais de 20 amostras de spyware Android chamadas MobileOrder, com a última variante datada de meados de Agosto de 2022. Como não há indicações de que algum deles tenha sido distribuído a partir da Loja Google, podemos assumir que o malware é distribuído por outros meios, muito provavelmente através de campanhas de engenharia social direcionadas. Na maioria dos casos, as aplicações maliciosas disfarçam-se em documentos PDF, fotos ou áudio. Quando a vítima abre o conteúdo, o malware começa a realizar extensas ações de vigilância em segundo plano. Estas incluem o roubo de dados sensíveis como a informação do dispositivo, mensagens SMS, localização do dispositivo, e ficheiros armazenados no dispositivo. O malware é também capaz de executar ativamente comandos para executar uma shell remota, tirar fotografias, realizar chamadas, manipular o SMS, registos de chamadas e ficheiros locais, e gravar o som surround.

 O malware MobileOrder, apesar de ser continuamente utilizado e atualizado, ainda não suporta algumas funcionalidades modernas do SO Android, tais como permissões de tempo de execução ou novas intenções de instalação de APK, e não utiliza técnicas comuns à maioria dos malwares modernos, tais como a utilização de acessibilidade, evitando a otimização da bateria, etc.

Os investigadores da CPR não foram capazes de identificar se os ataques foram bem-sucedidos, mas o facto de o grupo ter continuado a desenvolver e a implementar o malware durante tantos anos sugere que eles foram bem-sucedidos, pelo menos em algumas das suas operações.

Vitimologia e atração

A maioria das aplicações maliciosas observadas têm nomes na língua uyghur, nas suas escritas em árabe ou latim. Contêm diferentes chamarizes (documentos, imagens, ou amostras áudio) com conteúdo relacionado com o conflito geopolítico étnico centrado nos Uyghurs na região do extremo noroeste da China de Xinjiang, ou com o conteúdo religioso que faz referência à identificação muçulmana dos Uyghurs. Podemos, portanto, concluir que esta campanha se destina provavelmente a atingir a minoria Uyghur ou organizações e indivíduos que os apoiam, o que é consistente com a atividade anteriormente reportada do grupo Scarlet Mimic.

Imagem de engodo da amostra a4f09ccb185d73df1dec4a0b16bf6e2c.

A aplicação denominada پارتىزانلىق ئۇرۇشى" que traduz de Uyghur para "Guerrilla Warfare" (md5: b5fb0fb9488e1b8aa032d7788282005f) contém a versão resumida em PDF do curso militar de Yusuf al-Ayeri, o agora falecido primeiro líder da Al-Qaeda na Arábia Saudita, que esboça os métodos táticos da guerrilha.

 O PDF que contém os materiais da ala militar da Al-Qaeda.

- A amostra chamada "A Armadilha da Liberdade da China" (md5: a38e8d70855412b7ece6de603b35ad63) disfarça-se como um PDF parcial do livro com o mesmo nome escrito por Dolkun Isa, político e ativista da região de Xinjiang e o atual presidente do Congresso Mundial Uyghur:

Figura 28 - A capa do PDF de atracão.

A amostra chamada "quran kerim" que se traduz como "Noble Quran" (md5: f10c5efe7eea3c5b7ebb7f3bf7624073) utiliza como engodo um ficheiro mp3 de um discurso gravado no que parece ser uma língua túrquica.

Como Proteger Contra Malware do Android

os cibercriminosos visam os dispositivos móveis porque os utilizadores nem sempre protegem os seus dispositivos ou adotam hábitos seguros. A segurança dos dispositivos móveis é uma combinação de estratégias e ferramentas que protegem os dispositivos móveis contra ameaças à segurança. 

As melhores práticas comuns de prevenção contra ameaças móveis incluem a segurança das comunicações de correio eletrónico em dispositivos móveis, por exemplo, a utilização de software que avisa as pessoas para não clicarem em ligações suspeitas, fazendo cumprir as políticas de segurança da sua organização e exigindo que os utilizadores móveis utilizem uma virtual private network (VPN).

Embora as componentes de segurança móvel variem com base nas necessidades de cada organização, a segurança móvel envolve sempre a autenticação dos utilizadores e a restrição do acesso à rede. Isto é melhor conseguido com software de segurança móvel

Se precisar de uma solução de segurança móvel, solicite uma demonstração gratuita do Check Point Harmony Mobile para ver como podemos proteger os seus dispositivos móveis contra ciberataques.

Conclusão

Embora não tenhamos provas de quem está exatamente por detrás do Scarlet Mimic, parece ser um grupo com motivações políticas. Tem havido relatos de outros investigadores de que poderia estar ligado à China. Se for verdade, tornaria estas operações de vigilância parte de uma questão muito mais vasta, uma vez que este grupo minoritário tem estado, ao que parece, no centro dos ataques há muitos anos.

Share it:

info

Post A Comment:

0 comments: