RedAlert – Rocket Alerts kihasználása
A Cloudflare Cloudforce One Threat Operations Team tudomására jutott egy Google Android-alkalmazást (APK) tartalmazó webhely, amely a legitim RedAlert – Rocket Alerts alkalmazást adja ki módosított formában.
A Hamász támadásainak 2023. október 7-i kezdete óta több mint 5000 rakétát indítottak Izraelbe. RedAlert – Az Elad Nava által kifejlesztett rakétariasztások lehetővé teszik, hogy az egyének időben és pontosan kapjanak riasztást a bejövő légicsapásokról. Sok Izraelben élő ember támaszkodik ezekre a figyelmeztetésekre, hogy biztonságot keressen – ez a szolgáltatás egyre fontosabbá vált a régióban tapasztalható legújabb eszkaláció miatt.
A bejövő légicsapásokra figyelmeztető alkalmazások célpontokká váltak, mivel csak néhány nappal ezelőtt az AnonGhost palesztin-barát hacktivista csoport kihasználta egy másik alkalmazás sebezhetőségét, a „Red Alert: Israel”, Kobi Snirtől.
Kiaknázásuk lehetővé tette számukra a kérések elfogását, a szerverek és API-k felfedését, valamint hamis riasztások küldését egyes alkalmazásfelhasználóknak, beleértve egy üzenetet, „atombomba jön”. Az AnonGhost azt is állította, hogy más rakétariasztó alkalmazásokat támadtak meg, köztük az Elad Nava RedAlert-jét. A jelentések szerint 2023. október 11-én a RedAlert alkalmazás normálisan működött.
Az elmúlt két napban egy új rosszindulatú webhely ( hxxps://redalerts[.]me ) hirdette, hogy letölti a jól ismert nyílt forráskódú RedAlert alkalmazást, amelyet Elad Nava készített.
A rosszindulatú webhely a RedAlert alkalmazás iOS- és Android-verziójára mutató hivatkozásokat is tartalmazott. De míg az Apple App Store-ra mutató hivatkozás a RedAlert alkalmazás Elad Nava által készített legális verziójára utalt, a Play Áruházban tárolt Android-verzióra utaló hivatkozás közvetlenül letölt egy rosszindulatú APK-fájlt. Ez a támadás azt mutatja, hogy fennáll annak veszélye, hogy az alkalmazásokat közvetlenül az internetről töltik be, szemben az alkalmazások jóváhagyott alkalmazásboltból történő telepítésével.
A rosszindulatú RedAlert verzió a törvényes rakéta-riasztási alkalmazást utánozza, ugyanakkor érzékeny felhasználói adatokat gyűjt. A rosszindulatú alkalmazás által kértengedélyek közé tartozik a névjegyekhez, hívásnaplókhoz, SMS-ekhez, fiókadatokhoz való hozzáférés, valamint az összes telepített alkalmazás áttekintése.