توزیع بدافزار از طریق نسخه جعلی پیام‌رسان‌های محبوب

کمیته رکن چهارم – محققان امنیتی با ردیابی یک نمونه بدافزار نسبتا شناخته‌شده، نرم‌افزار جاسوسی اندرویدی جدیدی را پیدا کردند که از طریق نسخه جعلی پیام‌رسان‌هایی مانند Threema ،Telegram و WeMessage توزیع می‌شد.

این بدافزار از گروهی از هکرهای پیشرفته با نام APT-C-23 بوده است که در سال ۲۰۱۵ جاسوسی علیه موسسات نظامی و آموزشی را انجام می‌دادند.

نسخه به‌روز شده‌ای که اوایل سال جاری کشف شد، مجموعه قابل توجهی از ویژگی‌های جدید را نشان می‌دهد که به نرم‌افزار جاسوسی اجازه می‌دهد تا اعلان‌ راه‌حل‌های امنیتی را که در دستگاه‌های سامسونگ، شیائومی و هواووی اجرا می‌شوند، رد کند. بنابراین بدافزار می‌تواند بدون جلب توجه اقدام به جاسوسی کند.

در آوریل سال جاری، یک محقق امنیتی توییتی در مورد قطعه‌ای از نرم‌افزارهای جاسوسی برای اندروید که میزان تشخیص آن در VirusTotal بود، منتشر کرد. با بررسی نمونه، محققان ESET دریافتند که این بخشی از جعبه ابزار بدافزار است که توسط عامل تهدیدگر APT-C-۲۳ استفاده می‌شود. این شخص حدود دو ماه بعد، نمونه جدیدی از همان بدافزار را که در فایل نصب برنامه پیام‌رسان تلگرام موجود در DigitalApps -یک فروشگاه غیر رسمی اندروید- پنهان شده بود پیدا کرد.

از آنجا که راه‌حل امنیتی آنها در میان معدود راه‌حل‌هایی بود که بدافزار جدید از APT-C-۲۳ آن را شناسایی کرد، ESET پس از تحقیق، کشف کرد که این بدافزار در سایر برنامه‌های ذکر شده در فروشگاه نیز پنهان شده است.

آنها بدافزار را در Threema یک پلتفرم پیام‌رسان ایمن و در AndroidUpdate، برنامه‌ای پیدا کردند که به‌عنوان به‌روزرسانی سیستم برای پلتفرم تلفن همراه ظاهر می‌شود.

با Threema و Telegram، قربانی خدمات کامل برنامه‌ها را همراه با بدافزار به‌دست می‌آورد، بنابراین این کار ماهیت مخرب برنامه‌های جعلی را پنهان می‌کند.

احتمالاً در تلاش برای محدود کردن گسترش این بدافزار، مهاجمان با به‌کارگیری کد ۶ رقمی، مسیر دانلود جعلی را اضافه کردند.

ESET معتقد است که استفاده از فروشگاه DigitalApps تنها یکی از روش‌های توزیع عوامل تهدیدگر برای آلوده کردن قربانیان است زیرا آنها برنامه‌های دیگری را یافتند که در فروشگاه موجود نبودند، اما حاوی همان نرم‌افزار جاسوسی بودند.

با این حال، رابط گرافیکی برنامه مخرب با نسخه اصلی متفاوت است و به نظر می‌رسد توسط مهاجم ایجاد شده است که نشان می‌دهد این محصول تقلبی متعلق به محصول قانونی نبوده است.

APT-C-۲۳ با نام‌های مختلف (Big Bang APT ، Two-tailed Scorpion) توسط دیگر شرکت‌های امنیت سایبری ردیابی می‌شود. این گروه بدافزارهایی را برای سیستم‌عامل‌های ویندوز (KasperAgent ،Micropsia) و اندروید (GnatSpy ،Vamp ،FrozenCell) به کار گرفته که به اهدافی در خاورمیانه حمله کنند.

در مقایسه با نرم‌افزارهای جاسوسی قبلی برای اندزوید، آخرین نسخه از APT-C-۲۳ قابلیت فراتر از ضبط صدا، سرقت گزارش‌های تماس و پیام کوتاه مخاطبان و انواع پرونده‌های خاص (PDF ،DOC ،DOCX ،PPT ،PPTX ،XLS ،XLSX ،TXT ،JPG ،JPEG ،PNG) را دارد.

با بررسی‌های ESET مشخص شد که لیست ویژگی‌های این بدافزار شامل امکان بی‌صدا کردن اعلان‌های برنامه‌های امنیتی با دستگاه‌های سامسونگ، شیائومی و هواوی است که اجازه می‌دهد حتی در صورت شناسایی فعالیت آن، مخفی بماند.

علاوه‌بر این، بدافزار می‌تواند اعلان‌های برنامه‌های پیام‌رسان (WhatsApp ،Facebook ،Telegram ،Instagram ،Skype ،Messenger ،Viber) را بخواند و به‌طور موثر پیام‌های دریافتی را به سرقت ببرد. این بدافزار جاسوسی همچنین می‌تواند صفحه نمایش (فیلم و تصویر) و همچنین تماس‌های ورودی و خروجی را از طریق واتس‌اپ ضبط کند. همچنین می‎تواند با ایجاد یک تداخل روی صفحه سیاه از یک تلفن غیرفعال به‌صورت مخفی تماس برقرار کند.

منبع : مرکز مدیریت راهبردی افتانا