Stworzyli lewego WhatsAppa i dystrybuują nim spyware. Powiązania ze służbami oraz policją.

Ciekawe dochodzenie prowadzone przez Citizen Lab oraz Motherboard. Na celowniku są tym razem użytkownicy iPhone-ów. No ale ale, powiecie że przecież w przypadku iPhone-ów mamy tylko jeden słuszny sklep z appkami i nie da się zainstalować żadnego spyware!

Otóż napastnicy stosują pewien trick – przekonują ofiarę żeby zainstalowała u siebie profil MDM-a (Mobile Device Management). Cała procedura jest znana (w kontekście ataków), choć stosunkowo rzadko przypominana (bardziej spektakularne są taki tego typu).

Cała operacja jest prawdopodobnie odpowiednio targetowana na konkretnych użytkowników, a dochodzenie rozpoczęło się od tego Tweeta (patrzcie na sam dół, na górze inna podatność, która potencjalnie umożliwiałaby eskalację uprawnień z „lewej aplikacji” do roota)

Strona nakłaniająca do instalacji profilu MDM wygląda tak:

Atak odbywa się w dwóch krokach – instalacja profilu MDM, a następnie korzystając z uzyskanego na telefonie ofiary dostępu – instalacja malware (drugi krok jest jeszcze w trakcie analizy / rozpoznania):

Marczak said this file sends information to the config1-dati server, including the UDID, or Unique Device Identifier assigned to each iOS device by Apple; and the IMEI or International Mobile Equipment Identity, another unique code that identifies cellphones. 

„[The MDM file is] the first bit of the installation process for what is ultimately likely to be a fake WhatsApp app containing spyware,” Marczak said.

Badacze powiązali całą kampanię z włoską firma Cy4Gate współpracującą m.in. z policją oraz wywiadem.

–ms