В минувшее воскресенье представитель Армии обороны Израиля (Israel Defense Force, IDF) сообщил, что IDF и Общая служба безопасности Израиля (Israel Security Agency; ISA; также известное как «Shin Bet», контрразведка и обеспечение внутренней безопасности) провели совместную операцию под кодовым названием «Рикошет» (Rebound) по предотвращению операции Хамаса, направленной против солдат IDF.
Check Point Research проводит технический анализ использовавшегося террористами вредоносного программного обеспечения и анализ связи между злоумышленниками и хакерской группой APT-C-23, ранее обвинявшейся в кибератаках на Среднем Востоке.
Как говорится в статье, зловред типа MRAT (Mobile Remote Access Trojan) был замаскирован под сервисы знакомств – GrixyApp, ZatuApp и Catch&See; для каждого существовал якобы официальный сайт и описание.
Оператор Хамаса, прикидывавшийся «привлекательной женщиной», отправлял жертве ссылку для скачивания вредоносного приложения. После установки программы появлялось сообщение о том, что устройство жертвы не поддерживает это приложение, и что приложение самоудаляется. На самом деле, деинсталляции не происходило – лишь исчезала иконка, а программа связывалась с сервером, с которого была загружена, по протоколу MQTT (упрощённый сетевой протокол, работающий поверх TCP/IP, ориентированный на обмен сообщениями между устройствами по принципу издатель-подписчик).
Эксплуатация основного инстинкта - старый приём социальной инженерии. Самый известный случай применения этого приёма – эпидемия вируса ILoveYou в мае 2000 года. Преступник разослал письма с темой «I Love You» и вложением, замаскированным под текстовый файл, а на деле представлявшем собой код на Visual Basic. Если это вложение открывали из почтового клиента Microsoft Outlook, что чаще всего и случалось, код рассылал себя письмом по всем адресам адресной книги Outlook. В течение суток оказались заражены несколько миллионов компьютеров.
Основной функциональностью трояна был сбор информации о жертве: номер телефона, местоположение, установленные на устройстве приложения, тексты SMS и пр. При этом злоумышленник мог удалённо обновить код программы.
Check Point Research отмечает, что тактика, техника и процедуры, использовавшиеся в этой операции, сходны с теми, что использовались хакерской группой APT-C-23.
Подобные атаки, напоминает издание, демонстрируют, почему стараний одних только разработчиков ОС недостаточно, чтобы построить безопасную Android-экосистему. Для этого требуются объединенные усилия разработчиков систем, производителей устройств, прикладных программистов и собственно пользователей.
