نفوذ نرم افزارهای جاسوسی به وسیله پیغام رسان های جعلی - عینک دایره ای

به گزارش عینک دایره ای، محققان امنیتی با ردیابی یک نمونه بدافزار، نرم افزار جاسوسی اندرویدی جدیدی را ردیابی کردند که به وسیله پیغام رسان های جعلی مانند Threema ، Telegram و WeMessage توزیع می شد.

بدافزارها و نرم افزارهای مخرب در هر یک از فروشگاه های آنلاین یافت می شوند؛ بسیاری از برنامه هایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر می­ شوند، از روی برنامه های منبع باز ساخته شده اند. بسیاری از این برنامه ها صرفاً با تغییر نام و آیکون به عنوان برنامه های گوناگون و با هدف استفاده از سرویس­ های تبلیغاتی داخل این برنامه­ ها و درآمدزایی برای منتشرنماینده برنامه، فراوری می شوند.

به تازگی محققان امنیتی یک نمونه بدافزار اندرویدی نسبتا شناخته شده را ردیابی کردند که به وسیله پیغام رسان های جعلی مانند Threema ، Telegram و WeMessage توزیع می شد. بر اساس اطلاعات مرکز مدیریت راهبردی افتا، با آنالیز های شرکت ESET تعیین شده است که لیست ویژگی های این بدافزار با نام APT-C-23 ، شامل امکان بی صدا کردن اعلان های برنامه های امنیتی با دستگاه های سامسونگ ، شیائومی و هواوی است که اجازه می دهد حتی در صورت شناسایی فعالیت آن، مخفی بماند.

علاوه بر این، بدافزار می تواند اعلان های برنامه های پیغام رسان های تلگرام، اینستاگرام، اسکایپ، فیس بوک، واتس اپ، مسنجر و وایبر را بخواند و به طور موثر پیغام های دریافتی را به سرقت ببرد. بدافزار جاسوسی APT-C-23 می تواند صفحه نمایش (فیلم و تصویر) و همچنین تماس های ورودی و خروجی را به وسیله واتس اپ ضبط کند و قادر است با ایجاد یک تداخل روی صفحه سیاه از یک تلفن غیرفعال، به صورت مخفی تماس برقرار کند.

گروهی هکری پیشرفته APT-C-23 در سال 2015 از این بدافزار برای جاسوسی از موسسات نظامی و آموزشی استفاده نموده اند. جاسوس افزار APT-C-23 با نام های مختلف Big Bang APT وTwo-tailed Scorpion توسط بعضی شرکت های امنیت سایبری ردیابی می گردد. گروه هکری APT-C-23 بدافزارهایی را برای سیستم عامل های ویندوز (KasperAgent ، Micropsia) و اندروید GnatSpy ، Vamp ، FrozenCell به کار گرفته که به اهدافی در خاورمیانه حمله نمایند.

در مقایسه با نرم افزارهای جاسوسی قبلی برای اندروید، آخرین نسخه از APT-C-23 قابلیت فراتر از ضبط صدا، سرقت گزارش های تماس، پیغام کوتاه، مخاطبین و انواع پرونده های خاص مانندPDF ، DOC ، DOCX ، PPT ، PPTX ، XLS ، XLSX ، TXT ، JPG ، JPEG ، PNG را دارد. نسخه به روزشده این نرم افزار جاسوسی به آن اجازه می دهد تا آن دسته از اعلان راهکار های امنیتی را رد کند که در دستگاه های سامسونگ، شیائومی و هواووی اجرا می شوند، بنابراین بدافزار می تواند بدون جلب توجه، جاسوسی کند.

شیوه پنهان شدن در برنامه های جعلی

پایگاه اینترنتی bleepingcomputer نوشت: یک از محققان امنیتی، توییتی را آوریل امسال، منتشر و افشا کرد: قطعه ای از نرم افزارهای جاسوسی از اندروید وجود دارد که میزان تشخیص آن در VirusTotal بسیار پایین است؛ با آنالیز این نمونه، محققان شرکت ESET دریافتند که این بخشی از جعبه ابزار بدافزار است که توسط عامل تهدیدگر APT-C-23 استفاده می گردد.

این محقق، حدود دو ماه بعد، نمونه جدیدی از همان بدافزار را پیدا کرد که در فایل نصب برنامه پیغام رسان تلگرام موجود درDigitalApps (فروشگاه غیر رسمی اندروید) پنهان شده بود.

پس از آن، کارشناسان شرکت ESET دریافتند که بدافزار جاسوس در Threema یک پلت فرم پیغام رسان ایمن و همچنین AndroidUpdate ، برنامه ای که به عنوان بروزرسانی سیستم برای پلت فرم تلفن همراه ظاهر می گردد، به صورت پنهان، وجود دارد.

کارشناسان معاونت آنالیز مرکز مدیریت راهبردی افتای ریاست جمهوری معتقدند استفاده از فروشگاه DigitalApps تنها یکی از روش های توزیع عوامل تهدیدگر برای آلوده کردن قربانیان است زیرا برنامه های دیگری نیز وجود دارد که در فروشگاه موجود نیستند اما حاوی همان نرم افزار جاسوسی هستند، بنابراین کاربران سیستم های اندرویدی همچنان باید برنامه های مورد احتیاج خود را از فروشگاه های معتبر دانلود نمایند.،ایسنا