کمیته رکن چهارم – پژوهشگران امنیتی یکی از قدرتمندترین و پیشرفتهترین ابزارهای جاسوسی اندرویدی را کشف کردهاند که کنترل از راه دور کامل دستگاههای آلوده را در اختیار نفوذگران قرار میدهد.
در واقع Skygofree، جاسوسافزار اندرویدی است که برای نظارت بر هدف طراحی شده است، و طی ۴ سال گذشته تعداد زیادی از کاربران را هدف قرار داده است.
طبق یک گزارش جدید که توسط شرکت امنیت سایبری روسیه، آزمایشگاه کسپرسکای منتشر شده است، از سال ۲۰۱۴ میلادی، Skygofree به چندین ویژگی جدید که قبلاً مشاهده نشده، دست یافته است.
از جملهی ویژگیهای جدید و قابل ملاحضه، ضبط صدای مبتنی بر مکان با استفاده از میکروفن دستگاه، استفاده از خدمات دسترسی اندروید برای سرقت پیامهای واتساپ، و توانایی اتصال دستگاههای آلوده به شبکههای وایفای مخرب تحت کنترل مهاجمان هستند.
جاسوسافزار Skygofree از طریق صفحات وب جعلی که وانمود میکنند متعلق به اپراتورهای شبکهی تلفنهمراه هستند، توزیع میشود، که بیشتر این صفحات توسط مهاجمان از سال ۲۰۱۵ میلادی که پویش توزیع در آن زمان بسیار فعالتر بود، ثبت شده است.
آیا شرکت فناوری اطلاعات ایتالیایی پشت جاسوسافزار Skygofree است؟
پژوهشگران آزمایشگاه کسپرسکای بر این باورند که نفوذگر یا گروه نفوذ پشت این ابزار نظارت بر تلفنهمراه از سال ۲۰۱۴ میلادی فعال بوده است و در کشور ایتالیا، که یکی از بزرگترین فعالان جهان در زمینه مبادلات جاسوسی هستند، مستقر است.
در این گزارش آمده است: «با توجه به آنچه که ما در کد این بدافزار کشف کردیم، و همچنین بنا به تجزیه و تحلیل زیرساخت، ما کاملاً مطمئن هستیم که توسعهدهندهی Skygofree یک شرکت فنآوری اطلاعات ایتالیایی است که دقیقاً مانند HackingTeam روی راهکارهای نظارتی کار میکند.»
کسپرسکای چند دستگاه ایتالیایی آلوده به Skygofree یافت که این جاسوسافزار را قدرتمندترین، و پیشرفتهترین نمونهای توصیف کرد که تا به حال دیده شده است.
اگرچه این شرکت امنیتی نام شرکت ایتالیایی که پشت این جاسوسافزار است را تایید نکرده، اما در کد این جاسوسافزار چندین اشاره به شرکت فنآوری مستقر در رُم به نام «Negg» یافته است. Negg نیز به صورت تخصصی در زمینهی توسعه و مبادلهی ابزارهای نفوذ قانونی کار میکند.
Skygofree: ابزار جاسوسی اندرویدی قدرتمند
پس از نصب، Skygofree آیکون خود را مخفی میکند و خدمات پسزمینه را برای مخفیسازی عملیات از دید کاربر، فعال میکند. همچنین شامل یک ویژگی محافظت از خود است که مانع از متوقف شدن خدمات آن میشود.
از ماه اکتبر سال گذشته، Skygofree به یک ابزار جاسوسی چند مرحلهای پیچیده تبدیل شد که با استفاده از معماری کارگزار فرمان و کنترل و بار دادهی یک شِل معکوس، کنترل از راه دور کامل دستگاه آلوده را به مهاجمان میدهد.
بر اساس جزئیات فنی که توسط پژوهشگران منتشر شده، Skygofree شامل چندین بهرهبرداری برای افزایش امتیاز برای رسیدن به دسترسی ریشه است، و مجوز اجرای بارهای دادهی مخربتر و پیچیدهتر در دستگاههای اندرویدی آلوده را اعطا میکند.
یکی از این بارهای داده به این ابزار جاسوسی اجازه میدهد که کد شِل را اجرا کند و اطلاعات متعلق به سایر برنامههای نصب شده در دستگاه هدف مانند فیسبوک، واتساپ و لاین و وایبر را به سرقت ببرد.
پژوهشگران گفتند: «چندین قابلیت استثنایی وجود دارد: استفاده از بهرهبرداریهای متعدد برای دستیابی به مجوزهای ریشه، یک ساختار بار دادهی پیچیده، ویژگیهای نظارتی که تا کنون مشاهده نشده است.»
کارگزار فرمان و کنترل Skygofree به مهاجمان اجازه می دهد تا تصاویر و ویدئوها را از راه دور ضبط و ثبت کنند، گزارش تماسها و پیامهای کوتاه را به دست آورند، و بر موقعیت جغرافیایی کاربر، رویدادهای تقویم و هر گونه اطلاعات ذخیره شده در حافظهی دستگاه نظارت کنند.
علاوه بر این، Skygofree میتواند هنگامی که دستگاه آلوده در یک مکان خاصی است از طریق میکروفن صدا را ضبط کند و دستگاه آلوده را مجبور کند که به شبکههای وایفای آسیبدیدهی تحت کنترل مهاجم اتصال پیدا کند، و حملات مرد میانی را راهاندازی کند.
کسپرسکای گفت: «این جاسوسافزار از خدمات دسترسی اندروید استفاده میکند تا اطلاعات را به طور مستقیم از عناصر نمایش داده شده در صفحه بگیرد، بنابراین منتظر میماند که برنامهی مورد هدف راهاندازی شود و سپس همهی گرهها را برای یافتن پیامهای متنی تجزیه و تحلیل میکند.»
پژوهشگران کسپرسکای همچنین یک نوع دیگر از Skygofree را کشف کردند که کاربران ویندوز را هدف قرار میدهد، و نشان میدهد که هدف بعدی نویسندهی آن بستر ویندوز است.
بهترین راه برای جلوگیری از قربانی شدن، پرهیز از بارگیری برنامهها از وبگاههای شخص ثالث، فروشگاههای برنامه یا پیوندهای ارائهشده در پیامهای متنی کوتاه یا رایانامهها است.
منبع : news.asis.io
