کمیته رکن چهارم – شرکت ترند مایکرو از شناسایی یک جاسوسافزار تحت سیستم عامل Android با نام MobSTSPY خبر داده که در قالب برنامکهای به ظاهر معتبر اقدام به سرقت اطلاعات کاربر میکرده است.
برنامکهای مذکور برای مدتی در بازار رسمی گوگل، Play Store قابل دسترس بودهاند. گفته میشود تنها یکی از این برنامکها بیش از ۱۰۰ هزار بار توسط کاربران در کشورهای مختلف دریافت و نصب شده است. در فهرست ترند مایکرو نام ایران نیز بهعنوان یکی از کشورهایی که برخی کاربران آن اقدام به دریافت و نصب برنامکهای حاوی MobSTSPY نمودهاند به چشم میخورد.
عناوین این برنامکها عبارتند از:
- Flappy Birr Dog
- FlashLight
- HZPermis Pro Arabe
- Win7imulator
- Win7Launcher
- Flappy Bird
MobSTSPY قادر به سرقت اطلاعاتی همچون موقعیت کاربر، پیامکها، سوابق تماسها و محتوای بریدهدان (Clipboard) است. این جاسوسافزار از سرویسدهنده Firebase برای انتقال اطلاعات سرقت شده به سرورهای فرماندهی خود استفاده میکند.
بهمحض اجرا، جاسوسافزار، دسترسی شبکهای دستگاه را مورد بررسی قرار میدهد. در ادامه یک فایل XML حاوی تنظیمات مورد نظر مهاجمان از سرور فرماندهی دریافت میشود.
پس از آن MobSTSPY اطلاعات خاصی همچون زبان استفادهشده و سازنده دستگاه را جمعآوری و با ارسال آنها به سرور فرماندهی، عملا دستگاه آلوده شده در سرور فرماندهی ثبت میگردد. در ادامه جاسوسافزار در انتظار میماند تا فرامین از سوی سرور فرماندهی به آن ارسال شود.
MobSTSPY از فرامینی همچون سرقت ارتباطات پیامکی، فهرستهای تماس، فایلها و سوابق تماسها پشتیبانی میکند.
همچنین MobSTSPY دارای قابلیتی است که اجرای حملات فیشینگ را فراهم میکند. بدیننحو که با نمایش پیامهای جعلی فیسبوک و گوگل کاربر متقاعد میشود تا ایمیل و رمز عبور خود را در پنجره فیشینگ تحت کنترل جاسوسافزار وارد کند.
مشروح گزارش ترند مایکرو در اینجا قابل دریافت است.
لازم به ذکر است که در زمان انتشار این گزارش کلیه برنامکهای جعلی اشاره شده در این مطلب از بازار Play Store حذف شده و دیگر قابل دسترس نمیباشند.
منبع : شبکه گستر
