思科发现有组织(被国家资助)使用了多种技术远程访问社交媒体和安全信息应用程序。活动从2017年持续到了2018年,他们使用了包括假登录页面、伪装成合法副本的恶意应用程序和BGP劫持等技术攻击用户窃取其私人信息,据思科调查,这些活动似乎专门针对Telegram(消息应用程序)和Instagram(社交应用程序)上的伊朗用户。
Telegram已经成为伊朗“灰色”软件的热门目标,因为大约4000万用户使用该应用程序。虽然它主要用于日常交流,但抗议组织者过去也曾用它来组织针对伊朗政府的示威活动,特别是在2017年12月。在少数情况下,伊朗政府要求Telegram关闭某些“促进暴力”的渠道。
从2017年开始,有人一直在使用各类策略收集Telegram和Instagram的用户信息,
这些活动的复杂性,资源需求和方法各不相同。思科分析,这些活动专门针对电报应用程序的伊朗用户,以窃取个人和登录信息。
安装后,即使用户使用了合法Telegram应用程序,但一些“克隆版”Telegram也能访问移动设备的完整联系人列表和消息。而下载了假Instagram后,恶意软件悔将完整的会话数据发送回后端服务器,这允许攻击者完全控制正在使用的帐户。
思科将这些应用归类为“灰色软件”。它不具有明确的恶意破坏性,不能被归类为恶意软件,但其可疑性足以被视为潜在有害程序(PUP)。这种软件很难检测,因为它通常满足用户期望的功能(例如发送消息)。研究人员检测到它的时机取决于它产生的影响。Talos最终发现了几款潜在影响巨大的广告系列软件,他们认为灰色软件有可能降低用户使用这些应用程序的隐私和安全性,其研究表明,其中一些应用程序将数据发送回主机服务器,或者以某种方式从位于伊朗的IP地址进行控制,即使这些设备位于国外也是如此。
虽然创建虚假登录页面技术本身并不先进,但它们足以诱使不懂网络安全的用户掉入陷阱,比如伊朗间谍组织“Charming Kitten”针对消息应用程序热衷于使用这个技术。部分攻击者则劫持BGP协议,它会重定向所有路由器的流量,而无需考虑设备的原始路由。为了劫持BGP,需要雨互联网服务提供商(ISP)进行某种合作,而且这种合作很容易被察觉,所以重定向的新路线不会存在过久。
思科暂时还没有在观察到的多次活动中找到确切的联系,但活动明显的共性是它们都针对伊朗用户和他们所使用的应用程序。尽管文内所提的活动仅针对伊朗,但其实这些技术可以威胁任何国家用户的应用程序安全性,这种情况在伊朗和俄罗斯尤其突出,因为恶意程序开发者会在官方及非官方应用商店中复制应用程序,(所以)这些国家禁用Telegram这样的应用。
普通用户对BGP劫持无能为力,但是使用来自官方应用程序存储的合法应用程序可以降低风险。同样的规则也适用于克隆的应用程序,从不可信的来源安装应用程序意味着用户必须意识到一定程度的风险。在这两种情况下,如果应用程序是非官方的“增强功能”应用程序,即使它们在官方的谷歌Play商店中可用,这种风险也会大大增加。