کمیته رکن چهارم – محققان امنیتی از شبکهی پالوآلتو تروجان اندرویدی جدیدی را با نام SpyDealer کشف کردهاند. گفته میشود این بدافزار میتواند اطلاعات مهم و حساس را از ۴۰ برنامهی کاربردی به سرقت ببرد. از جمله برنامههای کاربردی مهم میتوان به ویچت، تلگرام، فیسبوک، اسکایپ، واتساپ، تانگو و مرورگر فایرفاکس اشاره کرد.
این بدافزار با سوءاستفاده از ویژگی سرویس دسترسپذیری اندروید، میتواند از این برنامههای کاربردی اطلاعات حساس و مهم را به سرقت ببرد. بدافزار SpyDealer از یک ابزار تجاری برای روت کردن دستگاه و رسیدن به امتیازات ریشه استفاده میکند که در ادامه میتواند با استفاده از این امتیازات، اطلاعات کاربران را به سرقت ببرد. ابزاری که برای روت کردن دستگاه توسط این بدافزار مورد استفاده قرار میگیرد، Baidu Easy Root نام دارد.
این بدافزارِ تلفن همراه تنها بر روی نسخههای ۲.۲ تا ۴.۴ اندروید عمل میکند و بهعبارت دیگر تنها میتواند ۲۵ درصد از دستگاههای اندرویدی را هدف قرار دهد. دلیل هدف قرار دادن این نسخهها این است که این ابزار تجاری، روت کردن این نسخهها را پشتیبانی میکند. وقتی بدافزار بر روی تلفن همراه قربانی نصب شد، دو گیرندهی همهپخشی را راهاندازی میکند تا بتواند به تمامی رویدادها و وضعیت ارتباطات شبکه در دستگاه گوش کند. حتی اگر این بدافزار نتواند دستگاه قربانی را روت کند، هنوز هم میتواند بخش قابلتوجهی از اطلاعات کاربران را به سرقت ببرد. مهاجمان میتوانند دستگاههای آلوده را از راه دور و با استفاده از UDP، TCP و پیامک کنترل کنند.
این تروجان میتواند اطلاعات بسیار مهمی مانند پیامکها، تاریخچهی تماسها، مخاطبان، مکان و اطلاعات مربوط به شبکههای وایفای را به سرقت ببرد. بدافزار همچنین میتواند به تماسهای تلفنی از شمارههای خاص پاسخ دهد، تماسهای صوتی را ضبط کرده و عملاً عملکردی مانند یک دستگاه جاسوسی را داشته باشد. این تروجان اندرویدی این قابلیتها را نیز دارد که با استفاده از دوربین دستگاه عکس گرفته، دستگاه را مکانیابی کرده و همچنین اسکرینشات بگیرد.
خبر خوبی که باید به اطلاع کاربران اندرویدی برسانیم این است که خوشبختانه تروجان SpyDealer بر روی فروشگاه گوگلپلی توزیع نشده و بیشتر کاربران چینی را که از شبکههای بیسیم آلوده استفاده میکردند هدف قرار داده است. محققان پالوآلتو معتقدند این بدافزار در مرحلهی توسعه قرار دارد. این بدافزار دارای ۳ نسخهی مختلف بوده که تاکنون نزدیک به ۱۰۴۶ نمونه از آن مشاهده شده است.
اولین نسخه از این تروجان اندرویدی در ماه اکتبر سال ۲۰۱۵ میلادی مشاهده شده و آخرین نسخه نیز در ماه می ۲۰۱۷ میلادی ایجاد شده است. بهعبارت دیگر این بدافزار تقریباً ۱۸ ماه فعالیت داشته است. محققان اعلام کردند اولین کاری که تروجان پس از راهاندازی انجام میدهد، بازیابی اطلاعات پیکربندی مانند آدرس IP کارگزار دستور و کنترل از یک پروندهی متنی با نام readme.txt است. بدافزار SpyDealer از کانالهای مختلفی برای ارتباط خود با کارگزار دستور و کنترل استفاده کرده و نزدیک به ۵۰ دستور را پشتیبانی میکند.
