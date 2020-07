Instrumentul folosit în operaţiune este o aplicaţie pentru Android, Welcome Chat, în fapt un program spyware ce oferă totodată funcţionalitatea promisă, aceea de chat. Site-ul (ephoneservices.club) care promovează şi distribuie aplicaţia pretinde că oferă o platformă de chat securizată, care este disponibilă în magazinul Google Play. Ambele afirmaţii sunt însă false; deşi se pretinde a fi o aplicaţie „sigură” cercetătorii ESET demonstrează exact contrariul.

„Pe lângă faptul că Welcome Chat este un instrument de spionaj, operatorii săi au expus gratuit datele colectate de la victime pe internet. Aplicaţia nu a fost niciodată disponibilă în magazinul oficial de aplicaţii pentru Android”, spune Lukáš Štefanko, cercetătorul ESET care a analizat aplicaţia Welcome Chat.

Aplicaţia Welcome Chat se comportă ca orice aplicaţie de chat descărcată din afara Google Play: are nevoie să fie activată opţiunea „Permite instalarea aplicaţiilor din surse necunoscute”. După instalare, solicită următoarele permisiuni: să trimită şi să vizualizeze mesajele de tip SMS, să acceseze fişiere, să înregistreze audio, să solicite contacte de acces şi locaţia dispozitivului. Imediat după primirea permisiunilor, Welcome Chat începe să primească comenzi de la serverul său de comandă şi control (C&C) şi încarcă acolo toate informaţiile colectate. Pe lângă mesajele de chat, aplicaţia fură informaţii precum conţinutul mesajelor SMS trimise şi primite, istoricul apelurilor, lista de contacte, fotografii, înregistrări de apeluri telefonice şi locaţia GPS a dispozitivului.

„Din păcate pentru victime, aplicaţia Welcome Chat, incluzând infrastructura sa, nu a fost concepută să asigure securitatea utilizatorului. Datele transmise nu sunt criptate şi, din această cauză, nu numai că oferă acces liber atacatorului, ci şi oricărui alt utilizator înregistrat în aceeaşi reţea”, comentează Štefanko.

Cercetătorii ESET au încercat să stabilească dacă Welcome Chat este o versiune troian a unei aplicaţii „curate” deja existente sau este o aplicaţie maliţioasă dezvoltată de la zero. „Am făcut tot posibilul să descoperim o versiune curată a acestei aplicaţii, pentru a îl face pe dezvoltatorul acesteia conştient de vulnerabilitate, dar suntem destul de siguri că nu există o astfel de aplicaţie. Nu a fost deloc dificil să găsim persoanele din spatele operaţiunii de spionaj”, explică Štefanko.

Aplicaţia de spionaj Welcome Chat aparţine unei familii de malware Android cunoscute şi împarte aceeaşi infrastructură cu o campanie de spionaj documentată anterior, numită BadPatch, care a vizat şi Orientul Mijlociu. BadPatch a fost asociat cu grupul Gaza Hackers, numit şi Molerats. Pe baza acestor descoperiri, credem că această campanie a fost derulată de aceiaşi infractori.

În timp ce operaţiunea de spionaj bazată pe Welcome Chat pare a avea răspândire limitată, ESET sfătuieşte în continuare utilizatorii să nu instaleze aplicaţii din alte surse decât magazinul oficial Google Play - cu excepţia cazului în care este o sursă de încredere, cum ar fi site-ul unui furnizor de soluţii de securitate de încredere sau al unei instituţii financiare de renume. În plus, utilizatorii ar trebui să fie atenţi la permisiunile solicitate de aplicaţii şi să fie suspicioşi în faţa oricăror aplicaţii care solicită permisiuni dincolo de funcţionalitatea lor - şi, ca o măsură de securitate de bază, utilizatorii ar trebui să ruleze o aplicaţie de securitate de încredere pe dispozitivele lor mobile.

Pentru mai multe detalii despre programele spyware Welcome Chat, citiţi postarea originală ESET: „Secure chat platform? Nothing could be further from the truth for Welcome Chat”.