Verschillende Tibetaanse groepen zijn het doelwit geworden van zogeheten "1-click" exploits die misbruik maakten van bekende kwetsbaarheden in Android en iOS waarvoor beveiligingsupdates beschikbaar waren. Dat meldt Citizen Lab, onderdeel van de universiteit van Toronto, dat onderzoek doet naar het gebruik van politieke macht in cyberspace.

De aanvallen vonden plaats tussen november 2018 en mei 2019. Doelwitten ontvingen op maat gemaakte WhatsApp-berichten die van journalisten, NGO-medewerkers en andere personen afkomstig leken. Een link in de berichten wees naar een exploit die via de kwetsbaarheden in Android en iOS spyware op de telefoon probeerde te installeren. In sommige gevallen werden gebruikers doorgestuurd naar phishingpagina's. Aangezien er een click van gebruikers was vereist noemen de onderzoekers het 1-click exploits.

De aanvallers bleken in totaal acht Chrome-exploits voor Android te gebruiken en één Android-spywarekit. Tevens werd er één iOS-exploit chain en iOS-spyware ingezet. De iOS-exploit en -spyware zijn eerder door Google beschreven. Ze waren ontdekt bij een campagne tegen Oeigoeren. Geen van de exploits waren zeroday-exploits, wat inhoudt dat de aanval van bekende kwetsbaarheden gebruikmaakte waarvoor beveiligingsupdates zijn ontwikkeld.

Volgens Citizen Lab is de nu onthulde aanvalscampagne de eerste waarbij 1-click exploits tegen Tibetaanse groepen zijn ingezet. Onder andere het Tibetaanse parlement, de Tibetaanse regering en personen rond de Dalai Lama waren het doelwit. De spyware die bij een succesvolle aanval werd geïnstalleerd was ontwikkeld om van allerlei applicaties en diensten data te stelen, waaronder WhatsApp, Gmail, Twitter en QQMail. Ook kon de spyware slachtoffers via hun camera en microfoon bespioneren en werden locatiegegevens doorgestuurd.

"De afgelopen jaren zijn Tibetaanse groepen op verdachte e-mails, bijlagen en phishing alert geworden. Deze aanval laat echter zien dat mobiele dreigingen niet door de gemeenschap worden verwacht, zoals blijkt uit het grote aantal clicks op de exploitlinks die voor een behoorlijk aantal gecompromitteerde telefoons konden zorgen als de toestellen kwetsbare versies van iOS of Android draaiden", aldus de onderzoekers, die tevens stellen dat social engineering via chat-apps eenvoudiger is uit te voeren dan via e-mail.

De onderzoekers sluiten af door te stellen dat de aanvalscampagne laat zien dat er een groeiende vraag is naar tools om smartphones aan te vallen, en dat het een gezamenlijke inspanning van burgers, overheden en bedrijven vereist om dergelijke aanvallen tegen te gaan. "Niet alleen lopen gebruikers van maatschappelijke organisaties een verhoogd risico door digitale spionage, maar de surveillancetools die met de onbewuste hulp van de burgersamenleving worden ontwikkeld zijn een gevaar voor alle gebruikers", zo stelt Citizen Lab