Фейковые мобильные приложения в Иране
Telegram News
Шпионские программы и мошенничество с кликами могут подвергать риску миллионы пользователей.
В Иране проведено расследование распространения поддельных приложений для Android в январе 2018 года. Одно из них Psiphon6, распространяемое через фишинговые SMS. Приложение включало «мошенничество с кликами» и «возможности шпионских программ». После того, как жертвы устанавливали поддельное приложение, зараженные мобильные устройства дистанционно контролировались с помощью двух мобильных уведомлений, а именно: pushe.co и onesignal.com.
Первый анализ кода показал, что приложение повышало видимость определенного контента в Telegram и Instagram, дистанционно контролируя скомпрометированные мобильные телефоны. Фейковое приложение Psiphon6 также могло захватывать учетные записи Telegram, обходить двухфакторную аутентификацию, красть сообщения, извлекать телефонные контакты и отслеживать геолокацию устройства.
Был определен разработчик вредоносного ПО, скорее всего, это «APD» (ака «Амир Парса Дехфули», консультант компании «Digital Marketing» Ad Venture. Эта компания работает с акцентом на Telegram (её учетная запись в Twitter @telegrampreneur).
Генеральный директор Ad-venture.ir Алиреаза Агаши принимал участие в «Цифровой маркетинговой конференции» (dmconf.ir) в ноябре 2017 года, сфокусированной на удивительных возможностях Telegram для цифровой рекламы.
Когда основателей Ad-venture (Mohammad Reza Niayi и Alireza Agashi) спросили о взаимоотношениях между их компанией и «APD», они признали, что «APD» помогало им разработать дизайн веб-сайта, но на этом всё. Все действия, связанные с вредоносными программами, не имеют отношения к их компании.
Кто такой APD?
Благодаря эксперту по кибербезопасности هوشمند @hooshmandk, было выяснено, что именно APD был основным подозреваемым в распространении вредоносного ПО psiphon6. Его учетная запись на Linkedin включала текущее описание работы «Iran - BI Consultant - Ad -Venture».
Итак, что известно об «APD».
Apd_1379 использует имя Amir Parsa Dehfuli с 2015 года и использовал следующие электронные ящики: apd_1379@yahoo.com, apd13791@gmail.com, parasdehfuli@hotmail.com, apd1379@gmail.com, riliufeapd@gmail.com (?)
В 2015 году он уже активно продавал учебные материалы о том, как делать боты Telegram с веб-сайтов cocbsell.ir и www.cocbsell.loxblog.com
TRANSLATION Training for creating a Telegram bot: 1. Sending unlimited messages to the bot users. 2. Server with good performance and no downtime . 3. Ability to check the total quantity of users and the channels that bot has been invited to. 4. Creating special keyboard. <---- 5. Sending your website's feed automatically. 6. Web control panel. 7. Connecting to the control panel via mobile devices and windows. "
ADP проявляет интерес к онлайн-играм, таким как «Clash of Clans» и рекламирует аккаунты игры для продажи. Он зарегистрировал домены clashtour.ir и запустил clashstore на Telegram. Известны и другие его дислокации в FB, Skype и т.д. Добавим только, что с ноября 2017 года он использовал ники: namazhe и inamazh, чтобы продвигать себя как «Finder Digital Marketing Solution Finder» и «Консультант по бизнес-аналитике».
Активно ли Psiphon6?
Выяснить это удалось при помощи создания еще одного приложения для Android, которое прослушивало все команды, поступающие из службы уведомлений. Таким образом, исследователи смогли записать каждую из команд, которые были отправлены на зарегистрированный телефон.
В результате, было выяснено, что вредоносное ПО всё еще активно. Злоумышленник больше не использует канал уведомлений pushe.co, но полагается на резервный канал «onesignal.com» для управления бот-сетью скомпрометированных телефонов. В день было получено 2-5 push-уведомлений, каждый из которых содержал 12 разных сообщений. Каждое заставляло мобильник загружать определенный контент из семи разных каналов Telegram в течение трех секунд.
Опасны ли «другие приложения» для взломанных устройств?
Многие из сообщений включают ссылки на другие поддельные APK с похожими бэкдорами. Например, сообщение https://t.me/bazarapp_ir/4467 указывает на поддельный клон «com.panel.keyboard» приложения «ir.samaanak.keyboard». Клонированное и измененное приложение содержит бэкдор.
Выводы
В Иране существует множество альтернативных клиентов Telegram, и многие из них небезопасны для конечных пользователей. Исследователи уже сообщили Павлу Дурову, и он уже знает, что с этим нужно что-то делать.
Мобильные службы push-уведомлений (PNS) в мобильных приложениях открывают гибкий механизм управления в мобильных бот-сетях.
Участие в «мошенничестве с кликами» — это плохо, но также добавление вредоносных программ со шпионскими возможностями намного хуже и может поставить под угрозу личную безопасность иранских активистов, организаций ЛГБТ и других диссидентов.
Если статья вам интересна, сообщите об этом в комментарии, у нас есть чем дополнить.