Een spionagegroep die "Bitter" wordt genoemd en het heeft voorzien op personen in Nieuw-Zeeland, het Verenigd Koninkrijk, India en Pakistan gebruikte Apples Testflight om een zelfontwikkelde chatapp te verspreiden, zo claimt Meta in een nieuwe versie van het Adversarial Threat Report (pdf). Ook gebruikte de groep malware voor het bespioneren van Androidgebruikers.
In het Adversarial Threat Report beschrijft Meta operaties en aanvallers die onder andere via Facebook en Instagram opereren. Volgens Meta gebruikt de Bitter-groep fictieve personages om zo contact met doelwitten te maken. Daarbij doen de aanvallers zich voor als aantrekkelijke jonge vrouw, journalisten of activisten. Zodra er een vertrouwensband is opgebouwd proberen de aanvallers het doelwit een malafide link te laten openen of malware te laten downloaden.
Bij een recent onderzoek naar de groep ontdekte Meta dat de aanvallers een zelfontwikkelde chatapplicatie voor iOS aanboden. Hiervoor werd gebruikgemaakt van Apples Testflight, bedoeld voor ontwikkelaars. Testflight maakt het mogelijk voor softwareontwikkelaars om testversies van iOS-apps aan gebruikers aan te bieden. Die moeten hiervoor eerst de Testflight-app installeren en kunnen vervolgens de nog in ontwikkeling zijnde applicatie buiten de Apple App Store installeren.
Hierdoor hadden de aanvallers geen exploits nodig en door het gebruik van de Testflight-app zou de chatapp legitiem kunnen lijken. Meta weet niet wat de app precies deed en of die malafide code bevatte. Mogelijk zou de app voor verdere aanvallen kunnen worden gebruikt, bijvoorbeeld door doelwitten een chatomgeving te laten gebruiken die in handen van de aanvallers is.
Daarnaast ontdekte Meta Android-malware die de Bitter-groep bij aanvallen inzette. Deze malware zat verborgen in getrojaniseerde versies van YouTube, Signal, Telegram en WhatsApp die buiten de Google Play Store werden aangeboden. Eenmaal geïnstalleerd hadden de aanvallers via de malware toegang tot gespreksgegevens, contacten, bestanden, sms-berichten, locatiegegevens en de mogelijkheid om foto's te maken, de microfoon in te schakelen en apps te installeren. Volgens Meta opereert de Bitter-groep vanuit Zuid-Azië.
Deze posting is gelocked. Reageren is niet meer mogelijk.