Получивший название Poison Carp от Citizen Lab Университета Торонто, хакерская группа этой кампании отправила вредоносные веб-ссылки своим целевым пользователям через WhatsApp, которые при открытии использовали уязвимости веб-браузера и повышения привилегий для скрытой установки шпионских программ на устройства iOS и Android.
«В период с ноября 2018 года по май 2019 года высокопоставленные члены тибетских групп получали злонамеренные ссылки в индивидуально подобранных текстовых обменах WhatsApp с операторами, изображающими из себя работников НПО, журналистов и других фальшивых персон», - говорят исследователи .
Что еще? Исследователи заявили, что обнаружили "техническое совпадение" Poison Carp с двумя недавно обнаруженными кампаниями против уйгурского сообщества в Китае - кампанией по взлому iPhone, о которой сообщили эксперты Google, и кампанией "Злой глаз", опубликованной Volexity в прошлом месяце.
Исходя из сходства трех кампаний, исследователи полагали, что правительство Китая спонсирует группу Poison Carp.
Кампания Poison Carp использует в общей сложности 8 различных эксплойтов браузера Android для установки ранее недокументированного полнофункционального шпионского ПО Android под названием MOONSHINE и одну цепочку эксплойтов iOS для скрытой установки шпионского ПО iOS на «пользовательское устройство» - ни один из которых не был нулевым днем.
Исследователи наблюдали в общей сложности 17 попыток вторжения в тибетские цели, которые были сделаны за этот период, 12 из которых содержали ссылки на эксплойт iOS.
После установки вредоносный имплант позволяет злоумышленникам:
- получить полный контроль над устройством жертвы,
- эксфильтрация данных, включая текстовые сообщения, контакты, журналы вызовов и данные о местоположении,
- получить доступ к камере и микрофону устройства,
- эксфильтровать личные данные из Viber, Telegram, Gmail, Twitter и WhatsApp,
- загружает и устанавливает дополнительные вредоносные плагины.
Помимо этого, исследователи также обнаружили вредоносное приложение OAuth, которое та же группа злоумышленников использовала для получения доступа к своим учетным записям «жертв» в Gmail, перенаправляя их на страницу-приманку, призванную убедить их в том, что приложение служит законной цели.
Среди жертв, которые стали жертвами хакеров «Отравленный карп» в период с ноября 2018 года по май 2019 года, были личный кабинет лидера тибетских буддистов Далай-ламы, Центральная тибетская администрация, тибетский парламент, тибетские правозащитные группы и лица, занимающие руководящие должности в их соответствующие организации.
Хотя это не первый случай попытки нацеливания на тибетское правительство, исследователи говорят, что новая кампания «Отравленный карп» является «первым задокументированным случаем мобильных эксплойтов одним нажатием, используемых для нацеливания на тибетские группы».
«Это представляет собой значительную эскалацию тактики социальной инженерии и технического совершенства по сравнению с тем, что мы, как правило, наблюдаем, используем против тибетского сообщества», - говорится в отчете.
После раскрытия кампании по взлому iPhone, в прошлом месяце Apple опубликовала заявление, подтверждающее, что кампания iOS направлена на уйгурское сообщество, и говорится, что компания исправила уязвимости, о которых идет речь, в феврале этого года.
Поскольку ни одна из уязвимостей iOS и Android, использованных в кампании, не имеет нулевого дня, пользователям настоятельно рекомендуется всегда обновлять свои мобильные устройства, чтобы не стать жертвами таких атак.