Μια εκστρατεία κατασκοπείας που έχει ως στόχο τις κινητές συσκευές δρά, αθόρυβα αλλά αποτελεσματικά, στη Μέση Ανατολή από το 2022, χρησιμοποιώντας ψεύτικες εκδόσεις ασφαλών εφαρμογών ανταλλαγής μηνυμάτων. Αυτές οι εφαρμογές, φαίνεται να παρέχουν εύκολη πρόσβαση στη συντονισμένη παρακολούθηση των θυμάτων μέσω ενός λογισμικού κατασκοπείας Android, γνωστό ως ProSpy.
Οι επιτιθέμενοι έχουν σχεδιάσει τις κακόβουλες εφαρμογές τους να μοιάζουν με γνωστές και ευρέως χρησιμοποιούμενες πλατφόρμες όπως το Signal, το ToTok και το Botim. Αυτές οι εφαρμογές χρησιμοποιούνται καθημερινά από δημοσιογράφους, ακτιβιστές και μέλη της κοινωνίας των πολιτών για τις ευαίσθητες επικοινωνίες τους.
Η Αρχική Ανακάλυψη της Καμπάνιας
Η εκστρατεία επικεντρώθηκε αρχικά τον Αύγουστο του 2022, όταν ερευνητές της Access Now’s Digital Security Helpline εντόπισαν μια αύξηση σε επιθέσεις phishing που στοχεύουν δημοσιογράφους και πολιτικούς στην Αίγυπτο. Η έρευνά τους αποκάλυψε κακόβουλο λογισμικό Android συνδεδεμένο με μία ευρύτερη διαδικασία κατασκοπείας, που έπληξε χώρες όπως το Μπαχρέιν, τα ΗΑΕ, τη Σαουδική Αραβία, τον Λίβανο, και ενδεχομένως τις Ηνωμένες Πολιτείες.
ProSpy και BITTER APT
Οι αναλυτές της Lookout Threat Intelligence χαρακτήρισαν αυτήν την καμπάνια ως πιθανή επιχείρηση hack-for-hire, συνδέοντάς την με το BITTER APT (T-APT-17), μια οντότητα που φέρεται να έχει σχέσεις με την ινδική κυβέρνηση. Μελέτες από νωρίτερα δείχνουν ότι το ProSpy αποτελεί παραλλαγή λογισμικού που μπορεί να συνδεθεί με στόχους της κοινωνίας των πολιτών στην περιοχή MENA.
Ο εντοπισμός 11 δειγμάτων ProSpy, που χρονολογούνται από τον Αύγουστο του 2024, αποκάλυψε την υποδομή του κακόβουλου λογισμικού σε διακομιστές εντολών και ελέγχου, αιτιολογώντας την εικαζόμενη χρήση του για την παρακολούθηση ευαίσθητων ατόμων.
Λειτουργικότητα και Δομή του ProSpy
Εκείνο το χρονικό διάστημα, η ESET παρουσίασε τη δημόσια ασφάλεια του ProSpy, καθορίζοντας ότι το λογισμικό είναι γραμμένο σε Kotlin και ακολουθεί μια αντικειμενοστραφή δομή. Περιλαμβάνει κατηγορίες που είναι υπεύθυνες για την συλλογή δεδομένων, αποθηκεύοντας πληροφορίες όπως επαφές, μηνύματα SMS και έγγραφα.
Πώς Φτάνει το ProSpy στα Θύματα
Η μέθοδος εγκατάστασης του ProSpy εμπεριέχει δύο επιμέρους βήματα, όπου οι επιτιθέμενοι χρησιμοποιούν ψεύτικες ταυτότητες σε social media και διαφορετικές πλατφόρμες, εγκαθιδρύοντας αρχικά μια σχέση εμπιστοσύνης με το θύμα. Στη συνέχεια, αποστέλλεται ένας σύνδεσμος phishing που οδηγεί τους χρήστες σε ψεύτικους ιστότοπους οι οποίοι φιλοξενούν trojanized APKs.
Ένα χαρακτηριστικό παράδειγμα αφορά μια ψεύτικη πρόσκληση για συμμετοχή σε βιντεοκλήση, που οδηγεί τον χρήστη σε μια σελίδα που προσομοιώνει την ενημέρωση της εφαρμογής ToTok και εκκινεί αυτόματα την λήψη του κακόβουλου APK. Αυτές οι σελίδες διατίθενται τόσο στα Αγγλικά όσο και στα Αραβικά, στοχεύοντας προσεκτικά το αραβόφωνο κοινό.
Σημαντική Οδηγία για τις Κοινωνικές Οργανώσεις
Είναι ουσιώδες για τα μέλη της κοινωνίας των πολιτών, τους δημοσιογράφους και τους ακτιβιστές στη Μέση Ανατολή να αποφεύγουν την εγκατάσταση εφαρμογών από μη αξιόπιστες πηγές. Συνιστάται η χρήση εργαλείων ανίχνευσης απειλών και η τακτική εκπαίδευση σχετικά με τους κινδύνους των εφαρμογών από μη επαληθευμένες πηγές.
Συμπέρασμα
Η εξάπλωση του ProSpy αναδεικνύει την ανάγκη για αναγνώριση των κινδύνων που συνοδεύουν τις κακόβουλες εφαρμογές και την ευαισθητοποίηση σχετικά με την ασφάλεια των επικοινωνιών, ιδίως για ευαίσθητες ομάδες στη Μέση Ανατολή. Οι οργανισμοί που υποστηρίζουν ανθρώπους σε κίνδυνο πρέπει να διασφαλίσουν ότι αυτοί οι χρήστες προστατεύονται επαρκώς γίνοντας πιο εξοικειωμένοι με τις τελευταίες απειλές που συνδέονται με τις εφαρμογές κινητών.
