Οι εμπόλεμες ζώνες ήταν ανέκαθεν πεδία κυνηγιού για οπορτουνιστές επιτιθέμενους, αλλά η εκστρατεία κατασκοπείας RedAlert για κινητά σηματοδοτεί ένα από τα πιο υπολογισμένα παραδείγματα οπλισμού του πολιτικού φόβου.
Στο πλαίσιο της συνεχιζόμενης κινητικής σύγκρουσης Ισραήλ-Ιράν, οι παράγοντες απειλών δημιούργησαν μια τρωανοποιημένη έκδοση της επίσημης εφαρμογής έκτακτης ανάγκης του Ισραήλ «Red Alert» – ένα εργαλείο που σώζει ζωές από το οποίο εξαρτώνται οι άμαχοι κατά τη διάρκεια επιθέσεων με πυραύλους – και τη μετέτρεψαν σε μηχανή κρυφής παρακολούθησης.
Η ψεύτικη εφαρμογή, που διανεμήθηκε ως κακόβουλο πακέτο Android με το όνομα RedAlert.apk, έφτασε στα θύματα μέσω μηνυμάτων ηλεκτρονικού ψαρέματος SMS που υποδύονταν την Αρχική Εντολή του Ισραήλ, εξαπατώντας τα να την εγκαταστήσουν έξω από το Google Play Store.
Η μέθοδος παράδοσης σχεδιάστηκε για να παρακάμψει την κανονική συμπεριφορά ασφαλείας. Οι επιτιθέμενοι έστειλαν συγκλονιστικά μηνύματα παροτρύνοντας τους παραλήπτες να κατεβάσουν αυτό που φαινόταν να είναι μια επείγουσα ενημέρωση εν καιρώ πολέμου για τη νόμιμη εφαρμογή Red Alert.
Δεδομένου ότι η πραγματική εφαρμογή είναι αποκλειστικά διαθέσιμη στο Google Play Store, αυτή η καμπάνια ανάγκασε τα θύματα να φορτώσουν το κακόβουλο APK, παρακάμπτοντας τις ενσωματωμένες προστασίες εγκατάστασης του Android.
Ο πανικός του πολέμου έδωσε στους ανθρώπους ελάχιστους λόγους για παύση και μόλις εγκατασταθεί, η ψεύτικη εφαρμογή εμφάνιζε μια πλήρως λειτουργική διεπαφή ειδοποίησης πανομοιότυπη με την επίσημη, δίνοντας στα θύματα κανένα οπτικό λόγο να υποψιάζονται ότι κάτι δεν πήγαινε καλά.
Οι αναλυτές του CloudSEK εντόπισαν αυτήν την καμπάνια μέσω στατικής και δυναμικής αντίστροφης μηχανικής του APK, αποκαλύπτοντας έναν πολυεπίπεδο μηχανισμό μόλυνσης που έχει σχεδιαστεί για να αποφεύγει την ανίχνευση ενώ συγκεντρώνει αθόρυβα ευαίσθητα δεδομένα.
Κάτω από την πειστική διεπαφή του, το κακόβουλο λογισμικό ζήτησε επιθετικά άδειες υψηλού κινδύνου – πρόσβαση SMS, επαφές και ακριβή τοποθεσία GPS – πλαισιώνοντάς τις ως απαιτήσεις ρουτίνας για τις λειτουργίες ειδοποίησης έκτακτης ανάγκης της εφαρμογής.
Μόλις χορηγηθεί μία άδεια, η σχετική ενότητα συλλογής δεδομένων ενεργοποιήθηκε αμέσως.
Τα δεδομένα συγκομιδής τοποθετήθηκαν τοπικά πριν μεταδοθούν σε διακομιστές που ελέγχονται από τους εισβολείς μέσω αιτημάτων HTTP POST που απευθύνονται στη διεύθυνση https://api[.]ra-backup[.]com/analytics/submit.php.
Οι συνέπειες στον πραγματικό κόσμο εκτείνονται πολύ πέρα από την τυπική κλοπή δεδομένων. Παρακολουθώντας συνεχώς τις συντεταγμένες GPS των μολυσμένων συσκευών κατά τη διάρκεια ενεργών αεροπορικών επιδρομών, οι επιτιθέμενοι απέκτησαν πληροφορίες για την κίνηση των πολιτών – δεδομένα που μπορούσαν να χαρτογραφήσουν τοποθεσίες καταφυγίων, να εντοπίσουν εκτοπισμένους πληθυσμούς ή να εντοπίσουν συγκεντρώσεις στρατιωτικών εφέδρων.
Η υποκλοπή των πλήρων εισερχομένων SMS έδωσε επίσης στους αντιπάλους μια διαδρομή να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων και να πραγματοποιήσουν στοχευμένες λειτουργίες παραπληροφόρησης.
Η αξιολόγηση του CloudSEK χαρακτήρισε αυτήν την καμπάνια ως σοβαρή στρατηγική και φυσική απειλή για την ασφάλεια, όχι ως συμβάν συμβατικού spyware.
Μέσα στην αλυσίδα μόλυνσης τριών σταδίων
Ο τεχνικός σχεδιασμός πίσω από το RedAlert.apk αποκαλύπτει ένα σκόπιμα ωφέλιμο φορτίο πολλαπλών σταδίων που έχει σχεδιαστεί για να παραμένει κρυφό τόσο από τους χρήστες όσο και από τα εργαλεία ασφαλείας.
.webp.png)
Στο Στάδιο 1, το εξωτερικό κέλυφος APK λειτουργεί ως συσκευή απόκρυψης. Χρησιμοποιώντας μια τεχνική που ονομάζεται Package Manager Hooking, το κακόβουλο λογισμικό αξιοποιεί την ανάκλαση Java για να υποκλέψει κλήσεις συστήματος που κανονικά θα αποκάλυπταν το πραγματικό πιστοποιητικό υπογραφής του.
Αντίθετα, επιστρέφει ένα πιστοποιητικό με έντυπη κωδικοποίηση που υποδύεται τα διαπιστευτήρια της επίσημης εφαρμογής Home Front Command του 2014 — ένα πιστοποιητικό SHA256withRSA, RSA 2048 bit που εκδόθηκε από μια ισραηλινή οντότητα.
Αναγκάζει επίσης το σύστημα να αναφέρει την εφαρμογή ως εγκατεστημένη από το Google Play Store, παρόλο που το θύμα την φόρτωσε παράπλευρα.
Το Στάδιο 2 εξάγει ένα κρυφό αρχείο με το όνομα “umgdn” — αποθηκευμένο χωρίς επέκταση αρχείου στον κατάλογο στοιχείων του APK — και το φορτώνει στη μνήμη ως εκτελέσιμο Dalvik, μετατοπίζοντας την εκτέλεση μακριά από στατικούς σαρωτές ασφαλείας.
.webp.jpeg)
Στη συνέχεια, το Στάδιο 3 αναπτύσσει το τελικό ωφέλιμο φορτίο, το DebugProbesKt.dex, το οποίο ενεργοποιεί την πλήρη σουίτα λογισμικού κατασκοπείας και δημιουργεί επικοινωνία εντολών και ελέγχου με την υποδομή εισβολέα.
Οι χρήστες που υποπτεύονται μόλυνση θα πρέπει να αφαιρέσουν αμέσως την ψεύτικη εφαρμογή RedAlert και να πραγματοποιήσουν πλήρη επαναφορά εργοστασιακών ρυθμίσεων, αποφεύγοντας οποιαδήποτε επαναφορά αντιγράφων ασφαλείας που δημιουργήθηκε μετά την αρχική ημερομηνία μόλυνσης.
Οι διαχειριστές δικτύου θα πρέπει να αποκλείουν όλη την κίνηση DNS και HTTPS προς api.ra-backup[.]com και ειδικότερα στη μαύρη λίστα εντοπισμένων διευθύνσεων IP C2 216.45.58[.]148.
Οι πολιτικές διαχείρισης φορητών συσκευών πρέπει να απαγορεύουν την παράπλευρη φόρτωση εφαρμογών από άγνωστες πηγές. Οι ομάδες ασφαλείας θα πρέπει επίσης να επισημαίνουν οποιαδήποτε εφαρμογή που διαθέτει ταυτόχρονα δικαιώματα READ_SMS, READ_CONTACTS και ACCESS_FINE_LOCATION.
Οι οργανώσεις θα πρέπει να εκδίδουν άμεσες συμβουλές προειδοποιώντας το προσωπικό σχετικά με επιθέσεις με θέμα τις συγκρούσεις που συνδέονται με την κρίση Ισραήλ-Ιράν.
