Facebook zatnul tipec hackerům, kteří zneužívali sociální síť k infikování mobilních zařízení

4 měsíce starý 8

Facebook oznámil, že úspěšně narušil hackerskou operaci, jež pomocí sociální sítě šířila malware pro iOS a Android, který sledoval ujgurské obyvatele z čínské oblasti Sin-ťiang. Malware pro oba mobilní operační systémy měl pokročilé funkce umožňující ukrást z infikovaného zařízení téměř cokoli.

Hackeři, pracující dle expertů pro čínskou vládu, umístili malware na webové stránky navštěvované aktivisty, novináři a disidenty, kteří původně pocházeli ze Sin-ťiangu a později se přestěhovali do zahraničí. Kampaň zaměřená na kybernetickou špionáž, byla primárně realizována zasíláním odkazů na škodlivé webové stránky.

Útok přes Facebook

Na webech pak byly nasazeny skripty napsané v JavaScriptu, jejichž úkolem bylo infikovat iPhony pomocí malwaru objeveného již v srpnu 2019. Hackeři k jeho instalaci využívali řadu slabých míst v operačním systému iOS.

Tyto exploity fungovaly proti iPhonům se systémem iOS verze 10.x, 11.x, 12.0 a 12.1. Později byly objeveny také exploity, které fungovaly proti verzím 12.3, 12.3.1 a 12.3.2. Díky tomu měli útočníci možnost zneužívat bezpečnostní nedostatky déle než dva roky.

Škodlivé aplikace byly schopné získat z napadených zařízení celou řadu informací – například seznam kontaktů, GPS polohu či zprávy z iMessage. Dokázaly také vytěžit konverzace z komunikačních aplikací Signal, WhatsApp, Telegram, Gmail a Hangouts. Nutno říci, že hackeři si v zájmu utajení počínali velmi opatrně a útočili jen na předem prověřené cíle.

Na Androidu to šlo jinak

Na zařízení s operačním systémem Android hackeři útočili jinými cestami. Mimo jiné například připravovali falešné „obchody s aplikacemi“, lákající na software určený pro Ujgury. Pokud si uživatel stáhl některý z nabízených programů, zavlekl si ve skutečnosti do systému trojského koně. Ten pak do systému instaloval malware označovaný jako ActionSpy či PluginPhantom.

Facebook také zmínil dvě čínské společnosti, které podle něj vyvinuly část malwaru pro Android, a poukázal na jejich spojení s čínskou vládou. Její zástupci však neochvějně popírají, že by se jakýmkoli způsobem zapojovali do hackerských aktivit.

Odhalení Facebooku v praxi znamená, že pokud nemáte spojení s ujgurskými disidenty, pak je velmi nepravděpodobné, že byste se stali terčem zmíněných operací. Pro uživatele, kteří chtějí zkontrolovat, zda nedošlo k napadení jejich zařízení, obsahuje příspěvek indikátory svědčící o možné kompromitaci.

Zdroj