Σαουδικοί ερευνητές ασφαλείας που έκαναν αίτηση για εργασία στην κυβέρνηση της Σαουδικής Αραβίας και του στρατού, άθελά τους εγκατέστησαν spyware στις Android συσκευές τους.
Το τμήμα του Mobile Research της Intel Security ήρθε αντιμέτωπο με ένα job portal στη Σαουδική Αραβία, το οποίο προωθεί μια εφαρμογή ιδιωτικού chat για Android συσκευές μέσω της ιστοσελίδας του.
Οι χρήστες που επισκέφθηκαν το ksa-sef[.]com portal έψαχναν για δουλειά σχετικά με την ασφάλεια σε συνεργασία με την κυβέρνηση της Σαουδικής Αραβίας και του στρατού και ήθελαν να εγκαταστήσουν την εφαρμογή, θα μολύνονταν με το Android / ChatSpy spyware.
Αυτό το κακόβουλο λογισμικό δεν είχε λειτουργική διεπαφή συνομιλίας, θα έκρυβε αμέσως το εικονίδιό του μετά το τέλος της εγκατάστασης, θα ξεκινούσε τη συλλογή δεδομένων σχετικά με τη συσκευή και, στη συνέχεια, θα καταχωρούσε το θύμα με έναν C&C (command and control) server.
Μετά από λίγο, το Android / SpyChat θα ξεκινούσε, επίσης, και τη μεταφορά κλεμμένων δεδομένων στο διακομιστή, καθώς και λεπτομέρειες όπως η λίστα επαφών του χρήστη, τα SMS του, το ιστορικό προγράμματος περιήγησής του, αρχεία καταγραφής κλήσεων και βασικές πληροφορίες hardware της συσκευής. Επιπλέον, αν χρειαζόταν, το spyware θα ήταν και σε θέση να διαβιβάσει τις τηλεφωνικές κλήσεις του θύματος σε έναν επιθυμητό αριθμό τηλεφώνου.
Οι ερευνητές της Intel λένε ότι η απειλή πίσω από αυτή την εκστρατεία φιλοξενήθηκε στην C&C υποδομή στον ίδιο διακομιστή με το job portal, γεγονός το οποίο αναφέρθηκε στην CERT ομάδα της Σαουδικής Αραβίας.
Λαμβάνοντας υπόψη τις εξαιρετικά ευαίσθητες πληροφορίες ενός επαγγελματία της ασφάλειας θα χειριστεί σε καθημερινή βάση στην κυβέρνηση της Σαουδικής Αραβίας και του στρατού, αυτό είναι αναμφίβολα μια εκστρατεία κυβερνο-κατασκοπείας.
Το προσωπικό της Intel δεν προσπάθησε να αποδώσει ευθύνες για τις επιθέσεις σε κάποιο συγκεκριμένο έθνος-κράτος, αλλά κατά το παρελθόν, το Ιράν έχει κατηγορηθεί για παρόμοιες εκστρατείες κατά της Σαουδικής Αραβίας, όπως για παράδειγμα σε μια επιχείρηση γνωστή ως OilRig.
Παρακάτω ακολουθεί ένα απόσπασμα από τον Yukihiro Okutomi της Intel Security, ο οποίος συνοψίζει το κακόβουλο λογισμικό με έναν τρόπο που πραγματικά το χαρακτηρίζει:
«Παρά το γεγονός ότι το spyware λειτουργεί καθαρά και ήσυχα, ο κώδικας εφαρμογής είναι κακής ποιότητας. Το spyware περιέχει το “spy (κατάσκοπος)” στο όνομα του πακέτου και το hardcoded SMS στον εισβολέα περιέχει τη λέξη “victim (θύμα)” σε μορφή απλού κειμένου. Το spyware χρησιμοποιεί ένα open-source ” call-recorder-for-android” και βρίσκεται στο GitHub, για να εφαρμόσει τη λειτουργία εγγραφής φωνής. Με τέτοια προχειρότητα στην κωδικοποίηση, το spyware πρέπει να δημιουργήθηκε βιαστικά από ένα “παιδικό script.”»
