Группировка Poison Carp атакует высокопоставленных лиц в тибетских общинах, используя целенаправленный фишинг.
Специалисты из Citizen Lab обнаружили новую таргетированную киберпреступную кампанию, направленную на владельцев iOS- и Android-устройств.
Хакерская группировка, названная исследователями Poison Carp, рассылала жертвам вредоносные ссылки с помощью мессенджера WhatsApp. После нажатия на ссылку через уязвимости в браузере на устройство незаметно загружалось шпионское ПО.
Вредоносная рассылка продолжалась с ноября 2018-го по май 2019 года. Жертвами группировки являлись высокопоставленные лица в тибетских общинах, в том числе частный офис буддистского лидера Далай-ламы. Каждой жертве злоумышленники писали в WhatsApp индивидуально под видом сотрудников неправительственных организаций, журналистов и других вымышленных лиц. Сначала они вовлекали жертву в разговор, а потом отправляли вредоносную ссылку.
Установка шпионского ПО на Android-устройства происходило с помощью восьми известных уязвимостей в браузере, а на iPhone – с помощью одной. Как минимум четыре эксплоита были взяты с GitHub.
Вредонос представляет собой ранее неизвестное шпионское ПО MOONSHINE, предоставляющее злоумышленникам полный контроль над устройством и позволяющее извлекать данные (текстовые сообщения, журналы звонков, контакты и данные о местоположении), получать доступ к микрофону и камере, извлекать данные из Viber, Telegram, Gmail, Twitter и WhatsApp, а также устанавливать дополнительные вредоносные плагины.
Операция Poison Carp пересекается с двумя кампаниями против пользователей в Китае, принадлежащих к уйгурской этнической группе. Учитывая сходства между тремя кампаниями, исследователи пришли к выводу, что за ними стоит китайское правительство.
