O Citizen Lab da Universidade de Toronto, no Canadá, publicou detalhes sobre uma campanha de espionagem que mirou lideranças no Tibete ligadas ao Dalai Lama, à Administração Central Tibetana e a grupos de direitos humanos da região.
Os ataques, quando bem-sucedidos, eram capazes de instalar programas espiões em celulares com iOS ou Android após um único clique.
Leia também
Os links da campanha eram enviados por WhatsApp, mas exploravam falhas nos navegadores dos celulares. As vítimas foram procuradas individualmente através do comunicador, onde os hackers se passaram por uma jornalista do jornal "New York Times" e por um membro da Anistia Internacional - entre outras personalidades falsas - para ganhar a confiança e o interesse das vítimas.
Durante as conversas sobre temas que interessavam às vítimas, os hackers enviavam os links maliciosos.
Denominada "Poison Carp" pelos especialistas em segurança, a campanha era capaz de instalar um programa espião que remetia dados do telefone contaminado a um servidor de controle, monitorando as conversas e a localização das vítimas.
Caso o ataque não funcionasse - por exemplo, se fosse enviado o link de ataque do Android para um usuário de iPhone, ou se a versão do software no celular fosse imune -, os hackers mantinham a conversa e enviavam outro link.
Quando o aparelho era imune, os links redirecionavam as vítimas para uma página falsa, que servia para afastar qualquer suspeita de ataque.
Os ataques foram registrados de novembro de 2018 a maio de 2019 e foram repassados ao Citizen Lab pelo TibCERT, uma organização dedicada à segurança digital do povo tibetano - onde pessoas influentes são constantemente alvo de ataques de espionagem. O Citizen Lab é especializado na investigação de denúncias de uso de espionagem contra ativistas e jornalistas.
Segundo os pesquisadores canadenses, é a primeira vez que uma campanha de espionagem contra ativistas e lideranças do Tibete tenta se aproveitar de falhas de segurança em celulares para instalar programas espiões com um só clique nos links.
Em alguns casos, a vítima também podia ser redirecionada para uma página de autorização "OAuth", em que ela é convencida a autorizar o uso de um "aplicativo" em sua conta on-line, dando acesso a e-mails e outros dados.
Semelhanças com ataques a uigures
No caso do iPhone, o Citizen Lab identificou um único ataque, que era capaz de contaminar aparelhos com iOS 11.0 a 11.4. Tanto o código de ataque como o programa espião instalado por ele eram muito semelhantes ao que foi descrito pelo Google em agosto.
Porém, enquanto o Google registrou cinco ataques diferentes, o Citizen Lab encontrou apenas um. Os especialistas canadenses também afirmaram que a versão usada no Tibete era mais rudimentar, aparentando ser uma versão inicial do programa encontrado pelo Google.
Embora o Google não tenha especificado quem eram os alvos dos ataques que a empresa divulgou, outras fontes - como a Apple e a empresa de segurança Volexity - reconheceram que as ações foram dirigidas aos uigures. Habitantes de Xinjiang, no noroeste da China, os uigures são um grupo étnico muçulmano minoritário envolvido em um conflito com tensões separatistas - de forma semelhante aos budistas do Tibete.
O Citizen Lab não atribuiu a campanha a nenhuma entidade ou organização específica.
Os elos técnicos e políticos das campanhas - ambas envolvendo interesses chineses - apontam para um envolvimento de hackers patrocinados pelo governo chinês.
Espião contamina aplicativo do Facebook no Android
Enquanto o código para iPhone encontrado pelo Citizen Lab tinha semelhanças com ataques já documentados, a versão da campanha para Android utilizava um programa espião até hoje desconhecido e que foi apelidado pelos especialistas de "Moonshine", uma alusão ao termo usado para destilados produzidas clandestinamente.
A escolha do nome se deve ao uso de termos ligados a bebidas alcoólicas no próprio vírus. Os módulos da praga digital foram nomeados pelos próprios criadores do código como "vodca", "uísque, "burbom" e "escocês".
Para chegar ao telefone, o Moonshine escolhia um entre oito códigos de ataque contra o Chrome. A página de ataque decidia qual código seria usado com base na versão do navegador Chrome que estivesse em uso pela vítima. Qualquer versão entre 39 e 73 poderia ser atacada.
Diferente dos ataques contra iPhone, que só atingiram versões antigas do sistema, uma das brechas do Chrome foi explorada antes que a correção chegasse aos usuários. Mesmo com a vulnerabilidade corrigida no código do navegador, a mudança ainda não tinha sido incorporada na versão que era distribuída aos usuários.
Quando o ataque era bem-sucedido, o Moonshine podia ser instalado como "módulo" em outro aplicativo instalado no celular. De acordo com o Citizen Lab, eram previstas quatro possibilidades: Facebook, Facebook Messenger, WeChat e QQ ? estes dois últimos são aplicativos de mensagens populares na China.
Com o vírus embutido em um desses aplicativos, o programa espião seria ativado sempre que o aplicativo principal fosse aberto pela vítima.
App Gazeta
Confira notícias no app, ouça a rádio, leia a edição digital e acesse outros recursos
