Η Meta Platforms ανακοίνωσε ότι έχει λάβει μέτρα για να περιορίσει τηn κακόβουλη δραστηριότητα 8 διαφορετικών εταιρειών με έδρα την Ιταλία, την Ισπανία και τα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ) που δραστηριοποιούνται στον τομέα της επί πληρωμή παρακολούθησης.
Τα ευρήματα αυτά αποτελούν μέρος της Έκθεσης Απειλών (Adversarial Threat Report) της εταιρείας για το τέταρτο τρίμηνο του 2023. Τα κακόβουλα λογισμικά στόχευαν συσκευές iOS, Android και Windows.
«Τα διάφορα κακόβουλα λογισμικά τους περιλάμβαναν δυνατότητες συλλογής και πρόσβασης σε πληροφορίες συσκευών, τοποθεσίας, φωτογραφιών και μέσων, επαφών, ημερολογίου, ηλεκτρονικού ταχυδρομείου, SMS, μέσων κοινωνικής δικτύωσης και εφαρμογών ανταλλαγής μηνυμάτων, καθώς και ενεργοποίησης λειτουργιών μικροφώνου, κάμερας και λήψης screhnshot», ανέφερε η εταιρεία.
Σύμφωνα με τη Meta, οκτώ εταιρείες που δραστηριοποιούνται στον τομέα της επί πληρωμή παρακολούθησης, με έδρα την Ιταλία, την Ισπανία και τα ΗΑΕ, στοχεύουν συσκευές iOS, Android και Windows, αλλά και δημοφιλείς πλατφόρμες κοινωνικής δικτύωσης και ανταλλαγής μηνυμάτων.
Οι συγκεκριμένες εταιρείες είναι:
- Cy4Gate/ELT Group
- RCS Labs
- IPS Intelligence
- Variston IT
- TrueL IT
- Protect Electronic Systems
- Negg Group
- Mollitiam Industries
Πέρα από τη συλλογή δεδομένων από συσκευές (αρχεία, τοποθεσία, επαφές, μηνύματα κ.λπ.), οι 8 εταιρείες που κατονομάζει η Meta εμπλέκονται και σε: scraping (Αυτόματη εξαγωγή δεδομένων από δημοφιλείς πλατφόρμες κοινωνικής δικτύωσης και ανταλλαγής μηνυμάτων), social engineering (εξαπάτηση χρηστών για να αποκαλύψουν προσωπικές πληροφορίες) και phishing που στοχεύουν σε ένα ευρύ φάσμα πλατφορμών, όπως Facebook, Instagram, X (πρώην Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch και Telegram.
Συγκεκριμένα, ένα δίκτυο ψεύτικων λογαριασμών που συνδέονται με την RCS Labs, η οποία ανήκει στην Cy4Gate, φέρεται ότι εξαπάτησε χρήστες για να δώσουν τους αριθμούς τηλεφώνου και τις διευθύνσεις email τους, και να πατήσουν κακόβουλους συνδέσμους που τους παρακολουθούσαν κρυφά.
Η ισπανική εταιρεία λογισμικού κατασκοπείας «Variston IT» φέρεται να χρησιμοποίησε λογαριασμούς στο Facebook και Instagram (που τώρα έχουν αφαιρεθεί) για να φτιάξει και να δοκιμάσει κακόβουλο λογισμικό, μοιράζοντας μάλιστα και κακόβουλους συνδέσμους. Την περασμένη εβδομάδα, προέκυψαν αναφορές ότι η εταιρεία παύει τις δραστηριότητές της.
Η Meta ανακάλυψε επίσης λογαριασμούς που χρησιμοποιούνταν από την Negg Group για να δοκιμάσουν την παράδοση του κακόβουλου λογισμικού τους, καθώς και από την Mollitiam Industries, μια ισπανική εταιρεία που διαφημίζει υπηρεσία συλλογής δεδομένων και κακόβουλο λογισμικό για Windows, macOS και Android, για να συλλέξουν δημόσιες πληροφορίες.
Η Meta εντόπισε και εξουδετέρωσε δίκτυα από την Κίνα, την Μιανμάρ και την Ουκρανία που κατέγραφαν συντονισμένη μη αυθεντική συμπεριφορά (CIB), διαγράφοντας πάνω από 2.000 λογαριασμούς, σελίδες και ομάδες από το Facebook και το Instagram.
Το κινεζικό δίκτυο στόχευε αμερικανικό κοινό με περιεχόμενο που επέκρινε την αμερικανική εξωτερική πολιτική προς την Ταϊβάν και το Ισραήλ και τη στήριξή της προς την Ουκρανία. Το δίκτυο από τη Μιανμάρ στόχευε τους δικούς της πολίτες με άρθρα που εξυμνούσαν τον βιρμανικό στρατό και περιφρονούσαν τις ένοπλες οργανώσεις μειονοτήτων.
Το ουκρανικό δίκτυο χρησιμοποιούσε ψεύτικες σελίδες και ομάδες για να δημοσιεύσει περιεχόμενο που υποστήριζε τον Ουκρανό πολιτικό Βίκτωρ Ραζβοδόφσκι, ενώ μοιραζόταν επίσης “θετικά σχόλια για την τρέχουσα κυβέρνηση και επικριτικά σχόλια για την αντιπολίτευση” στο Καζακστάν.
Αυτό συμβαίνει τη στιγμή που μια συμμαχία κυβερνήσεων και τεχνολογικών εταιρειών, συμπεριλαμβανομένης της Meta, υπέγραψε συμφωνία για να περιοριστεί η κατάχρηση εμπορικού κακόβουλου λογισμικού με στόχο την παραβίαση ανθρωπίνων δικαιωμάτων.
Η Meta εισήγαγε νέα χαρακτηριστικά, όπως την ενεργοποίηση του Control Flow Integrity (CFI) στο Messenger για Android και την απομόνωση μνήμης VoIP στο WhatsApp, για να κάνει πιο δύσκολη την εξαπάτηση και να μειώσει το εύρος της επίθεσης.
Ωστόσο, η βιομηχανία κατασκοπείας συνεχίζει να ευδοκιμεί με ποικίλους και απρόβλεπτους τρόπους. Πέρυσι, η 404 Media αποκάλυψε ένα εργαλείο που ονομάζεται Patternz, το οποίο αξιοποιεί δεδομένα διαφημιστικών δεδομένων πραγματικού χρόνου που συλλέγονται από δημοφιλείς εφαρμογές όπως το 9gag, το Truecaller και το Kik για να παρακολουθεί κινητές συσκευές.
Την περασμένη εβδομάδα, η Enea αποκάλυψε μια άγνωστη μέχρι πρότινος επίθεση σε δίκτυο κινητής τηλεφωνίας, γνωστή ως MMS Fingerprint, η οποία φέρεται να χρησιμοποιήθηκε από τον κατασκευαστή του Pegasus, NSO Group.
Ενώ επικρατεί μυστήριο γύρω από την ακριβή μέθοδο που χρησιμοποιείται στην επίθεση, η σουηδική εταιρεία ασφάλειας τηλεπικοινωνιών υποπτεύεται ότι πιθανότατα περιλαμβάνει τη χρήση του MM1_notification. Στη συνέχεια, το MMS λαμβάνεται μέσω των MM1_retrieve.REQ και MM1_retrieve.RES, με το πρώτο να αποτελεί αίτημα HTTP GET στη διεύθυνση URL που περιέχεται στο μήνυμα MM1_notification.REQ.
Με απλά λόγια, η επίθεση ίσως χρησιμοποιεί ειδικούς τύπους SMS για να στείλει ένα αίτημα λήψης ενός MMS που περιέχει κακόβουλο κώδικα, ο οποίος γίνεται download και μολύνει τη συσκευή χωρίς ο χρήστης να έχει ιδέα.
Το αξιοσημείωτο σε αυτή την επίθεση είναι ότι πληροφορίες για τη συσκευή του χρήστη, όπως το “User-Agent” (διαφορετικό από το “User-Agent” ενός φυλλομετρητή) και το “x-wap-profile”, συμπεριλαμβάνονται στο αίτημα GET. Με αυτόν τον τρόπο, η επίθεση δημιουργεί ένα μοναδικό “αποτύπωμα” της συσκευής, σαν ψηφιακό δακτυλοσκοπικό αποτύπωμα.
Αυτό επιτρέπει στους επιτιθέμενους να στοχεύσουν συγκεκριμένους τύπους συσκευών ή ακόμη και μεμονωμένες συσκευές με μεγαλύτερη ακρίβεια, καθιστώντας την επίθεση δυσκολότερη στην ανίχνευση και την αποτροπή.
Σύμφωνα με την Enea:
- Το User-Agent του MMS: είναι ένα κείμενο που συνήθως αναγνωρίζει το λειτουργικό σύστημα και τη συσκευή σας. Λειτουργεί σαν ταυτότητα της συσκευής σας.
- Το x-wap-profile: δείχνει σε ένα αρχείο UAProf (User Agent Profile) που περιγράφει τις δυνατότητες του κινητού σας τηλεφώνου. Σκεφτείτε το σαν ένα τεχνικό εγχειρίδιο της συσκευής σας
Με απλά λόγια, η επίθεση εκμεταλλεύεται πληροφορίες για τη συσκευή σας που βρίσκονται μέσα σε αυτά τα ειδικά μηνύματα SMS. Αυτές οι πληροφορίες λειτουργούν σαν ένα μοναδικό “αποτύπωμα” της συσκευής σας, επιτρέποντας στους επιτιθέμενους να σας στοχεύσουν με μεγαλύτερη ακρίβεια και να κάνουν την επίθεση πιο δύσκολη στην ανίχνευση και την αποτροπή.
Επιτήδειοι που θέλουν να διασπείρουν κακόβουλο λογισμικό μπορούν να εκμεταλλευτούν αυτές τις πληροφορίες για να:
- Αξιοποιήσουν συγκεκριμένα κενά ασφαλείας στη συσκευή-στόχο.
- Προσαρμόσουν τον κακόβουλο κώδικα στις δυνατότητες της συσκευής σας.
- Δημιουργήσουν πιο αποτελεσματικές καμπάνιες phishing που να στοχεύουν συγκεκριμένα εσάς.
Ωστόσο, προς το παρόν δεν υπάρχουν αποδείξεις ότι αυτό το κενό ασφαλείας έχει εκμεταλλευτεί ευρέως τους τελευταίους μήνες.