Dark Caracal: Hacker biến smartphone thành camera selfie quay lén

Tin tặc có thể đánh cắp dữ liệu từ các thiết bị bị ảnh hưởng mà không được cảnh báo

Các nhà nghiên cứu cho biết, cơ quan tình báo của Lebanon có thể đã biến điện thoại thông minh của hàng nghìn cá nhân mục tiêu thành máy gián điệp mạng.

Theo một báo cáo của công ty bảo mật di động Lookout và nhóm quyền kỹ thuật số Electronic Frontier Foundation (EFF), Tổng cục An ninh chung của Lebanon (GDGS) đã thực hiện hơn 10 chiến dịch kể từ ít nhất là năm 2012, chủ yếu nhắm vào người dùng điện thoại Android ở ít nhất 21 quốc gia. .

Các cuộc tấn công mạng chiếm quyền kiểm soát điện thoại thông minh Android, cho phép tin tặc biến chúng thành thiết bị giám sát nạn nhân và đánh cắp bất kỳ dữ liệu nào từ chúng mà không bị phát hiện, các nhà nghiên cứu cho biết hôm thứ Năm. Không có bằng chứng nào cho thấy người dùng điện thoại Apple đã bị nhắm mục tiêu, một điều có thể đơn giản phản ánh sự phổ biến của Android ở Trung Đông.

Các tin tặc được nhà nước hậu thuẫn, được các tác giả của báo cáo gọi là “Dark Caracal” – theo tên một con mèo hoang có nguồn gốc từ Trung Đông – đã sử dụng các cuộc tấn công lừa đảo và các thủ đoạn khác để dụ nạn nhân tải xuống các phiên bản giả mạo của ứng dụng nhắn tin được mã hóa, giúp những kẻ tấn công có toàn quyền kiểm soát các thiết bị của người dùng vô tình.

Đọc thêm:  WhatsApp Android so với WhatsApp iOS: Đây là cách phân biệt; kiểm tra danh sách 10 điểm

Michael Flossman, nhà nghiên cứu bảo mật hàng đầu của nhóm, nói với Reuters rằng EFF và Lookout đã lợi dụng sự thất bại của nhóm gián điệp mạng Lebanon trong việc bảo mật các máy chủ chỉ huy và kiểm soát của riêng họ, tạo ra một lỗ hổng để kết nối chúng trở lại GDGS.

“Nhìn vào các máy chủ, những người đã đăng ký nó khi nào, kết hợp với việc có thể xác định nội dung bị đánh cắp của nạn nhân: Điều đó cho chúng tôi một dấu hiệu khá tốt về thời gian họ đã hoạt động,” Flossman nói trong một cuộc phỏng vấn qua điện thoại.

Theo báo cáo, Dark Caracal đã tập trung các cuộc tấn công vào các quan chức chính phủ, mục tiêu quân sự, tiện ích, tổ chức tài chính, công ty sản xuất và nhà thầu quốc phòng.

Các nhà nghiên cứu đã tìm thấy bằng chứng kỹ thuật liên kết các máy chủ được sử dụng để kiểm soát các cuộc tấn công với văn phòng GDGS ở Beirut bằng cách định vị mạng wi-fi và địa chỉ giao thức internet trong hoặc gần tòa nhà. Họ không thể nói chắc liệu các bằng chứng chứng minh GDGS phải chịu trách nhiệm hay là việc làm của một nhân viên bất hảo.

Các nhà nghiên cứu cho biết, phần mềm độc hại sau khi được cài đặt có thể thực hiện những việc như chụp ảnh từ xa bằng camera trước hoặc sau và âm thầm kích hoạt micrô của điện thoại để ghi lại các hoạt động bảo tồn.

Đọc thêm:  Ấn tượng đầu tiên về Xiaomi 11 Lite NE 5G: Chiếc điện thoại này ĐÃ ĐƯỢC TẢI

Trả lời câu hỏi của Reuters về những tuyên bố trong báo cáo, Thiếu tướng Abbas Ibrahim, Tổng giám đốc GDGS, cho biết ông muốn xem báo cáo trước khi bình luận về nội dung của nó. Ông nói thêm: “General Security không có những loại khả năng này. Chúng tôi ước mình có những khả năng này.”

Ibrahim đã phát biểu trước khi công bố báo cáo.

Bay bên dưới radar

Nhóm EFF/Lookout cho biết họ đã phát hiện ra các công cụ gián điệp và một kho dữ liệu khổng lồ hàng trăm GB dữ liệu bị đánh cắp từ điện thoại của hàng nghìn nạn nhân, bao gồm tin nhắn văn bản, danh bạ, hội thoại được mã hóa, tài liệu, âm thanh và ảnh.

Các mục tiêu chủ yếu nằm ở Lebanon và khu vực xung quanh, bao gồm Syria và Ả Rập Saudi, nhưng không phải Iran hay Israel, hai mục tiêu thường xuyên của các cuộc tấn công gián điệp mạng của chính phủ. Các nhà nghiên cứu cho biết các nạn nhân cũng sống ở 5 quốc gia châu Âu là Nga, Mỹ, Trung Quốc, Việt Nam và Hàn Quốc.

Các nhà nghiên cứu đã thông báo cho Google, nhà phát triển hệ điều hành Android, vào cuối năm 2017. Google đã hợp tác chặt chẽ với các nhà nghiên cứu để xác định các ứng dụng liên quan đến cuộc tấn công này, không có ứng dụng nào có sẵn trên Cửa hàng Google Play dành cho người dùng điện thoại Android, một phát ngôn viên của công ty nói.

Đọc thêm:  Các lô hàng điện thoại thông minh toàn cầu đạt 394,6 triệu chiếc trong quý 4 năm 2020: Báo cáo

Người phát ngôn cho biết Google Play Protect, hệ thống bảo mật hợp nhất của công ty internet chạy trên nhiều điện thoại thông minh Android, đã được cập nhật để bảo vệ người dùng khỏi các ứng dụng độc hại này và đang trong quá trình xóa chúng khỏi mọi điện thoại bị ảnh hưởng.

Những kẻ tấn công đã mượn mã để tạo phần mềm độc hại của riêng chúng từ các trang web của nhà phát triển, đồng thời dựa nhiều vào kỹ thuật xã hội để lừa mọi người nhấp vào các liên kết đưa họ đến một trang web có tên là SecureAndroid, một cửa hàng ứng dụng Android giả mạo.

Ở đó, người dùng được khuyến khích tải xuống các phiên bản giả mạo nhưng hoạt động đầy đủ của các ứng dụng nhắn tin được mã hóa và các công cụ bảo mật bao gồm WhatsApp, Viber và Signal, mà Flossman cho biết đã hứa với các nạn nhân phần mềm bảo mật “tốt hơn bản gốc”.

Lookout đã tìm thấy mối liên hệ giữa các cuộc tấn công liên quan đến Liban và các cuộc tấn công liên quan đến chính phủ Kazakhstan ở Trung Á vào năm 2016 trong một báo cáo có tên “Hướng dẫn vận hành” của EFF và các chuyên gia khác. Hai nhóm nghiên cứu đã đồng ý hợp tác và hiện tin rằng nhóm Kazakhstan là khách hàng của nhóm tin tặc có trụ sở tại Lebanon.

Đọc thêm:  Ứng dụng Samsung Galaxy Buds+ cho iOS cập bến App Store trước ngày ra mắt

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *