کمیته رکن چهارم – محققان امنیت سایبری بهتازگی یک جاسوسافزار را کشف کردهاند که دادههای کاربران را به سرقت میبرد.
محققان امنیتی جزئیات عملکرد داخلی جاسوسافزار تجاری اندروید به نام Predator را که توسط شرکت اسرائیلی Intellexa (که قبلا با نام Cytroxشناخته میشد) به بازار عرضه میشود، شرح دادهاند.
Predator برای اولین بار توسط گروه تجزیه و تحلیل تهدیدات گوگل (TAG) در ماه می ۲۰۲۲ به عنوان بخشی از حملاتی که از پنج نقص مختلف روز صفر در مرورگر وب کروم و اندروید استفاده میکردند، ثبت شد.
این نرم افزار جاسوسی که با استفاده از یک لودر دیگر به نام Alien ارائه میشود، برای ضبط صدا از تماسهای تلفنی و برنامههای مبتنی بر VoIP و همچنین جمعآوری مخاطبین و پیامها از پیامرسانهایی مانند سیگنال، واتساپ و تلگرام مجهز شده است.
سایر قابلیت های این اپلیکیشن اجازه میدهد تا برنامه ها را مخفی کند و از اجرای برنامهها پس از راهاندازی مجدد گوشی جلوگیری کند.
نرمافزارهای جاسوسی مانند Predator و Pegasus متعلق به گروه NSO بهعنوان بخشی از حملات بسیار هدفمند با تسلیحاتی که زنجیرههای آسیبپذیری روز صفر نامیده میشوند، ارائه میشوند که معمولاً نیازی به تعامل با قربانیان ندارند و امکان اجرای کد و افزایش امتیازات را فراهم میکنند.
هم Predator و هم Alien برای دور زدن حفاظهای امنیتی در اندروید طراحی شدهاند که Alien در یک فرآیند اصلی اندروید به نام Zygote دانلود میشود تا ماژولهای جاسوسافزار دیگر مانند Predator را از یک سرور خارجی دانلود و راهاندازی کند.
ماژولهای مختلف پایتون مرتبط با Predator انجام مجموعهای از وظایف مانند سرقت اطلاعات، نظارت، دسترسی از راه دور و اجرای کد دلخواه را ممکن میسازد.
این نرمافزار جاسوسی که قبل از راهاندازی محیط اجرای پایتون بهصورت باینری ELF وارد میشود، همچنین میتواند گواهیهایی را به فروشگاه اضافه کند و محتویات دایرکتوریهای مختلف روی هارد را اگر روی دستگاهی تولید شده توسط سامسونگ، هواوی، اوپو یا شیائومی اجرا میشود، تحت تأثیر قرار دهد.
منبع: افتانا