מחקר: גרסה טרויאנית של טלגרם מאפשרת ריגול אחר המשתמשים

מחקר: גרסה טרויאנית של טלגרם מאפשרת ריגול אחר המשתמשים. כ"כ - חשיפת רוגלה חדשה של המשטרה. 
מאת: מערכת Telecom News, 10.1.23, 14:31

האפליקציה הזדונית מאפשרת הקלטת שיחות, גישה ליומן שיחות, רשימות אנשי קשר והודעות מאפליקציות שונות.
 
תשומת לב שמערכת Cognyte שנמצאת בשירות יחידות הסיגינט-סייבר במשטרה, מזה שנים, מטפלות גם ב"פיצוח" מערכת ה-Telegram - כמוצג ע"י קוגניט בעצמה, באתר שלה, וכן מנותח ע"י META [חברת האם של פייסבוק] כאן. 

חוקרי חברת אבטחת המידע ESET זיהו גרסה טרויאנית של אפליקציית טלגרם המאפשרת ריגול אחר המשתמשים.

את האפליקציה הזדונית התוקפים מציגים למשתמשים כאפליקציית "shagale" המשמשת לווידאו צ'ט למבוגרים.

בין תכונות הריגול של האפליקציה הזדונית: הקלטת שיחות טלפון, גישה ל--SMSים, צפיה ביומן השיחות, רשימות אנשי הקשר ועוד. מדובר במודולים זדוניים המתועדים בפעם הראשונה.

קורבן, שתן את ההרשאות לאפליקציה, יאפשר לתוקף גישה להודעות הנכנסות מ-17 אפליקציות נוספות כמו Viber, Skype, Gmail, Messenger וטינדר.
בניגוד לאתר Shagle האמיתי, שאינו מציע אפליקציה רשמית לנייד כדי לגשת לשירותיו, האתר, שמציגים התוקפים, מספק רק אפליקציית אנדרואיד להורדה, ללא  אפשרות סטרימינג מבוססת אינטרנט. אפליקציית טלגרם טרויאנית מעולם לא הייתה זמינה בחנות הרשמית Google Play.
 
בתמונה: העמוד המתחזה מצד ימין:  
הקוד הזדוני, הפונקציונליות שלו, השמות והאישורים המשמשים לחתימה על קובץ ה-APK, זהים לקמפיין הקוד, לפיכך, בחברה מאמינים בביטחון גבוה, שפעולה זו שייכת לקבוצת StrongPity.

ניתוח קוד גילה, שהדלת האחורית היא מודולרית ומודולים בינאריים נוספים יורדים משרת C&C. משמעות הדבר היא, שניתן לשנות את מספר וסוג המודולים, שבהם נעשה שימוש בכל עת כך, שיתאימו לבקשות הקמפיין כאשר הם מופעלים ע"י קבוצת StrongPity.

לוקאש שטפנקו, חוקר ESET שניתח  את אפליקציית  Telegram הטרויאנית: "במהלך המחקר, הגרסה של הנוזקה מהאתר המתחזה כבר לא הייתה פעילה וכבר לא ניתן היה להתקין ולהפעיל בהצלחה את פונקציונליות הדלת האחורית שלה. הסיבה לכך היא, ש-StrongPity לא השיגה מזהה API משלה עבור אפליקציית הטלגרם הטרויאנית שלה. אבל זה עשוי להשתנות בכל עת אם התוקפים יחליטו לעדכן את האפליקציה הזדונית".

הגרסה הארוזה מחדש של טלגרם משתמשת באותו שם כמו אפליקציית טלגרם הלגיטימית. סט הכלים הקבצים והתוכנות אמורים להיות מזהים ייחודיים עבור כל אפליקציית Android וחייבים להיות ייחודיים בכל מכשיר נתון. המשמעות היא, שאם אפליקציית הטלגרם הרשמית כבר מותקנת במכשיר של קורבן פוטנציאלי, לא ניתן להתקין את הגרסה הזו בדלת האחורית.

שטפנקו: "זה יכול להיות אחד מ-2 דברים - או ששחקן האיום מתקשר תחילה עם קורבנות פוטנציאליים ודוחף אותם להסיר את Telegram מהמכשירים שלהם אם הוא מותקן, או שהקמפיין מתמקד במדינות, שבהן השימוש בטלגרם לא נפוץ".

מידע נוסף - כאן.

עדכון 15.1.23: משטרת ישראל ענתה ב"אין תגובה" לחשיפת אבי וייס לכך, שמשטרת ישראל השתמשה ומשתמשת גם כיום (למרות השבתת מערכת הפגסוס\סייפן, ראה דו"ח מררי - כאן וכאן), במערכת האזנת סתר לטלגרם - בתוכנה להעתקת טלגרם, מערכת נפרדת מזו של הפגסוס\סייפן. תגובת משטרת ישראל - כאן. 

עדכון 17.1.23: פורסם ע"י עומר כביר מ"כלכליסט" כאן (כותרת בלבד): "איגוד האינטרנט הישראלי: "המידע שהמשטרה שואבת ממכשירים לרוב כרוך בעבירות פליליות וחורג מסמכויותיה".
הדו"ח מבקר את השימוש שעושות רשויות אכיפת החוק בישראל בכלי פריצה, ריגול ושאיבת מידע. ומדגיש את הצורך לעדכן את החוק והרגולציה בנושא חדירה למכשירים חכמים ושירותי ענן. כמו כן, מחברי הדו"ח מציעים מתווה לאסדרת החיפוש." 
המסמך המלא של המחקר מצוי כאן (או כאן, אם זה ייעלם מרשת האינטרנט). 

פורסם כאן על כלים חודרניים נוספים של המשטרה לאיסוף מידע לא חוקי מהציבור שנחשפו ע"י הסנגוריה הציבורית (כותרת בלבד): "דוח הסנגוריה: ישראל בין המדינות המובילות במספר העצורים במערב.
הסנגוריה הציבורית מתריעה כנגד טכנולוגיית "איכון הפוך" של המשטרה, דורשת הגבלת צווי חיפוש, יוצאת נגד צמצום השחרורים המנהליים, מבקשת שילוב עברייני מס בבתי משפט קהילתיים ומזהירה מריבוי כתבי אישום נגד קטינים במעונות". הדוח שנתי המלא לשנת 2021 - כאן.  

עדכון 28.5.23: פורסם כאן ע"י תומר גנון ב"כלכליסט" (כותרת בלבד): "בניגוד להנחיות מררי: המשטרה רכשה תוכנת מעקב חדשה ללא אישור היועמ"שית.
אחרי השבתת הפגסוס של NSO, המשטרה רכשה לאחרונה מחברת הסייבר הישראלית רייזון תוכנה שמאפשרת לאתר מיקום ומסלול תנועה של משתמשי סלולר בלי ידיעתם. השימוש בתוכנה מעורר שאלות בתחום המשפט, הפרטיות והטכנולוגיה. ממשרד המשפטים נמסר: "הנושא לא הגיע אלינו"; יו"ר רייזון: "לא מתייחס לזהות לקוחותינו". פניות רבות למשטרה נותרו ללא תגובה." 

הכלים שחברת רייזון מספקת מפורטים - כאן, מאתר המל"ל. 

עדכון 13.6.23: תומר גנון פרסם כאן ב"כלכליסט" (כותרת בלבד): "הפרקליטות איבדה אמון במשטרה.
למשטרה היה נוח להתחבא מאחורי המבוגר האחראי, הפרקליטות, אך זו הבינה כעת שאי אפשר לסמוך על הצהרות המשטרה.
החלטת צוות מררי לבדוק רק 25 מקרים מתוך 1086 התבררה כטעות מרה. למנגנון הבדיקה תהיה השפעה קריטית על התוצאות."