Uma equipe de pesquisadores de segurança cibernética canadense descobriu um sofisticado e direcionado campanha de hacking móvel que tem como alvo os membros de alto perfil de vários grupos tibetanos com um clique exploits para dispositivos iOS e Android.
Apelidado Carp veneno pela Universidade de Toronto do Citizen Lab, o grupo de hackers por trás dessa campanha enviou adaptados links maliciosos para as suas metas ao longo do WhatsApp, que, quando aberto, navegador web explorados e vulnerabilidades de privilégios para instalar spyware em dispositivos iOS e Android furtivamente.
“Entre novembro de 2018 e maio 2019, altos membros de grupos tibetanos receberam links maliciosos em trocas de mensagens WhatsApp adaptados individualmente com os operadores que se apresentam como funcionários de ONGs, jornalistas e outras personas falsas”, dizem os pesquisadores.
O que mais? Os pesquisadores disseram que encontraram “sobreposições técnicas” de Carp veneno com duas campanhas recentemente descobertos contra a comunidade uigur na China, o iPhone campanha hackers relatado por especialistas da Google e da campanha Evil Eye publicado pela Volexity no mês passado.
Com base nas semelhanças das três campanhas, os pesquisadores acreditavam que o governo chinês patrocina grupo veneno Carp.
campanha veneno Carp explora um total de 8 explorações do navegador Android distintas instalar um spyware Android totalmente caracterizado até agora não documentados, chamado MOONSHINE e um iOS explorar cadeia para instalar furtivamente iOS spyware no dispositivo de none ‘usuários’ dos quais eram de zero dias.
“Quatro dos exploits MOONSHINE são claramente copiado de trabalho código de exploração publicado por pesquisadores de segurança sobre os seguidores de bugs ou páginas GitHub”, diz o relatório.
Os investigadores observaram um total de 17 tentativas de intrusão contra alvos tibetanos que foram feitos ao longo desse período, 12 dos quais continham links para as iOS explorar.
Uma vez instalado, o implante malicioso permite aos crackers:
ganhar controle completo do dispositivo de vítimas,
exfiltrate dados, incluindo mensagens de texto, contatos, registros de chamadas e dados de localização,
acessar o ‘câmera e microfone do dispositivo,
exfiltrate dados privados de Viber, Telegrama, Gmail, Twitter e WhatsApp,
downloads e instalar plugins maliciosos adicionais.
Além disso, os pesquisadores também observaram uma aplicação OAuth malicioso que o mesmo grupo de atacantes usada para obter acesso às suas contas do Gmail ‘vítimas’, redirecionando-os para uma página chamariz projetado para convencê-los que o aplicativo serviu a um propósito legítimo.
Entre as vítimas que foram alvo dos hackers veneno Carpa entre novembro de 2018 e maio 2019 incluem o Gabinete do líder budista tibetano, o Dalai Lama, a Administração Central Tibetana, o Parlamento tibetano, grupos tibetanos de direitos humanos, e os detentores de altos cargos em sua respectivas organizações.
Embora este não é o primeiro caso a tentativa de alvejar governo tibetano, os pesquisadores dizem que a nova campanha do veneno Carp é “o primeiro caso documentado de um clique com exploits móveis utilizados para atingir grupos tibetanos.”
“Ela representa uma escalada significativa em táticas de engenharia social e sofisticação técnica em relação ao que temos observado tipicamente sendo usado contra a comunidade tibetana”, diz o relatório.
Após a divulgação do iPhone campanha de pirataria, a Apple divulgou um comunicado no mês passado, confirmando que a campanha iOS alvo a comunidade uigur e dizendo que a empresa corrigiu as vulnerabilidades em questão em fevereiro deste ano.
Como nenhum dos iOS e vulnerabilidades Android exploradas na campanha é zero-day, os usuários são altamente recomendados sempre para manter seus dispositivos móveis up-to-date para evitar ser vítima de tais ataques.