Lähi-itä on aina ollut tulehdusherkkä alue ja yhä useammin vastapuolet suuntaavat kohti toisiaan kyberhyökkäysten avulla. Viikko sitten Israel kertoi torjuneensa palestiinalaisen Hamas-järjestön yritykset tunkeutua israelilaissotilaiden älypuhelimiin. Check Pointin tutkijat kertoivat, miten hyökkäystä yritettiin.
Chech Pointin mobiililaitteiden tietoturvan tutkimuksesta vastaavan Jonathan Shimonovichin mukaan mobiilikyberhyökkäysten menestys perustuu kahteen asiaan. - Olemme entistä riippuvaisempia matkapuhelimista ja niihin asennetuista sovelluksista. Lisäksi suurin osa maailman väestöstä ei tiedä, kuinka helppoa on käyttää matkapuhelimia hyökkäysvektoreina.
- Nykyään monet tunnetut haittaohjelmat ovat käytössä myös matkapuhelimissa. Tiedämme omien tutkimustemme perusteella, että vain kolme prosenttia organisaatioista maailmanlaajuisesti käyttää asianmukaista suojausta matkapuhelimissaan. Silti pelkästään vuonna 2019 tietoverkkohyökkäyksistä 27 prosenttia maailmanlaajuisesti kohdistui matkapuhelimiin, Shimonovic selvensi.
Hamas käytti hyväkseen näitä tosiseikkoja. He käyttivät hyväkseen sitä, etteivät sotilaat olleet riittävän varovaisia puhelimiensa suhteen. Hyökkäyksessä perustetaan väärennettyjä profiileja sosiaaliseen mediaan, luodaan vuorovaikutusta ja houkutellaan sitten uhreja lataamaan sovelluksia linkkien kautta.
Kyse on mobiililaitteiden etäyhteyden mahdollistava MRAT-troijalainen (Mobile Remote Access Trojan), joka on naamioitu treffisovellukseksi. Näillä sovelluksilla (GrixyApp, ZatuApp ja Catch & See) on kaikilla omat verkkosivustonsa ja kuvaus treffisovelluksesta.
Hyökkäyksessä kohde sai linkin ladata haittaohjelma Hamas-operaattorilta, joka naamioi itsensä houkuttelevaksi naiseksi. Kun sovellus on asennettu ja suoritettu, se näyttää virheilmoituksen, jonka mukaan laitetta ei tueta, ja sovellus poistaa itsensä. Sovellus ei kuitenkaan poistu, vaan vain sen kuvake piilotetaan.
Piilossa pysyttelevä sovellus kommunikoi palvelimien kanssa mqtt-protokollan kautta samoihin palvelimiin, joista se ladattiin. Haittaohjelman tärkein kyky on kerätä uhria koskevia tietoja, kuten puhelinnumero, sijainti ja tekstiviestit. Sovellus voidaan käynnistää ottamaan vastaan URL-osoite, johon tiedot lähetetään.
Haittaohjelmakampanjan takana on APT-C-23-ryhmä, jonka vastaaviin prosesseihin on törmätty aiemminkin. Yhteistä niille on takaovien rakentaminen Android-puhelimeen deittisovelluksen avulla.
Huom. Check Point on israelilainen yritys, jonka päämaja sijaitsee Tel Avivissa. Esimerkiksi yhtiön perustajiin kuuluva Gil Shwed, jota kutsutaan joskus "palomuurin isäksi", työskenteli ennen Check Pointin perustamista Israelin armeijan tiedustelussa.