V březnu 2019 zveřejnila Amnesty International zprávu, která odhalila cílený kyberútok proti novinářům a aktivistům v oblasti lidských práv v Egyptě. Oběti dokonce dostaly od společnosti Google e-mail s upozorněním, že se útočníci podporovaní vládou pokusili ukrást jejich hesla.
Podle zprávy se útočníci nespoléhali pouze na tradiční phishingové metody ani datový obsah, který by kradl přihlašovací údaje, ale využili nenápadnější a efektivnější způsob, jak proniknout do e-mailů obětí: techniku známou jako „phishing OAuth“. Útočníci zneužívali aplikace třetích stran pro populární e-mailové služby, jako jsou Gmail nebo Outlook, a dokázali tak přimět oběti, aby jim poskytly plný přístup k jejich e-mailům.
From Egypt, with love ????????
— Check Point Research (@_CPResearch_) October 3, 2019
This is the story of how we uncovered multiple layers of a long-term, government-backed surveillance operation targeting Egypt's civil societyhttps://t.co/mMAVo4Po9P
V návaznosti na vyšetřování Amnesty International odhalil výzkumný tým Check Point Research nové, dříve neznámé nebo nezveřejněné aspekty útoku a celé operace. Check Point v souvislosti s útoky objevil nový web a mobilní aplikace hostované v oficiálním obchodě Google Play, což ukazuje, že útočníci cílili na své oběti různými způsoby a technikami. Objevené byly například aplikace, které požadovaly povolení ke zobrazení základních informací a e-mailové adresy oběti, ale také požadovaly neomezený přístup na Disk Google.
Aplikace „iLoud 200%“ se například vydávala za aplikaci zaměřenou na zvyšování hlasitosti zařízení a zobrazovala zprávu „zvonění je nyní o 100 % hlasitější“. Ale žádnou takovou funkci ve skutečnosti neposkytovala. Naopak sbírala a odesílala informace o poloze zařízení, místním času a stavu baterie. Samo o sobě tyto funkce nejsou škodlivé, ale v kombinaci s dalšími charakteristikami je lze dále zneužít.
Podobný přístup vidíme i u aplikace „IndexY“, kterou bylo možné stáhnout na Google Play a měla více než 5 000 stažení. Vydávala se za aplikaci, která poskytuje informace o telefonních číslech a volajících. Slibovala obrovskou databázi více než 160 milionů telefonních čísel, ale ve skutečnosti byla zaměřena na konkrétní cílové publikum, a to arabsky mluvící uživatele, zejména Egypťany. Po instalaci získala aplikace přístup ke kontaktům uživatele a historii hovorů. I když se jedná o citlivá data, pro podobnou aplikaci by dávalo smysl, že se snaží shromáždit co nejvíce telefonních čísel, aby bylo možné službu vylepšit. Ale místo toho, aby jen exportovala telefonní čísla z historie volání, aplikace zaznamenávala informace o hovorech (příchozí, odchozí nebo zmeškaný), datum, kdy byl přijat, a jeho trvání. Proto se nezdá, že by IndexY přistupoval k těmto datům pouze za účelem zlepšení služby, kterou slibuje, ale ve skutečnosti exportuje mnohem více informací, než potřebuje.
Check Point o zjištěních a příslušných aplikacích informoval společnost Google, která aplikace z obchodu Google Play rychle stáhla a dané vývojáře zablokovala. Ať už se jedná o phishingové stránky, legitimně vypadající aplikace pro Outlook a Gmail a mobilní aplikace, které sledují komunikaci nebo polohu zařízení, je zřejmé, že útočníci neustále přichází s kreativními metodami, jak proniknout do zařízení obětí, špehovat účty a sledovat jejich aktivity.
Check Point objevil seznam obětí, mezi něž patřili vybraní političtí a sociální aktivisté, významní novináři a členové neziskových organizací v Egyptě. Informace získané během vyšetřování naznačují, že pachateli jsou arabsky mluvící útočníci, kteří dobře znají egyptský ekosystém. Protože útok může být podporován nějakou vládou, lze předpokládat, že se jedná o vládní špehování obyvatelů vlastní země nebo o aktivitu jiné vlády, která tento útok používá pro maskování dalšího útoku.