محققان امنیتی با ردیابی یک نمونه بدافزار، نرمافزار جاسوسی اندرویدی جدیدی را ردیابی کردند که از طریق پیامرسانهای جعلی مانند Threema ، Telegram و WeMessage توزیع میشد.
به گزارش پایداری ملی به نقل از ایسنا، بدافزارها و نرمافزارهای مخرب در هر یک از فروشگاههای آنلاین یافت میشوند؛ بسیاری از برنامههایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر میشوند، از روی برنامههای منبع باز ساخته شدهاند. بسیاری از این برنامهها صرفاً با تغییر نام و آیکون بهعنوان برنامههای گوناگون و با هدف استفاده از سرویسهای تبلیغاتی داخل این برنامهها و درآمدزایی برای منتشرکننده برنامه، تولید میشوند.
بهتازگی محققان امنیتی یک نمونه بدافزار اندرویدی نسبتا شناختهشده را ردیابی کردند که از طریق پیامرسانهای جعلی مانند Threema ، Telegram و WeMessage توزیع میشد. بر اساس اطلاعات مرکز مدیریت راهبردی افتا، با بررسیهای شرکت ESET مشخص شده است که لیست ویژگیهای این بدافزار با نام APT-C-23 ، شامل امکان بیصدا کردن اعلانهای برنامههای امنیتی با دستگاههای سامسونگ ، شیائومی و هواوی است که اجازه میدهد حتی در صورت شناسایی فعالیت آن، مخفی بماند.
علاوه بر این، بدافزار میتواند اعلانهای برنامههای پیامرسانهای تلگرام، اینستاگرام، اسکایپ، فیسبوک، واتساپ، مسنجر و وایبر را بخواند و به طور موثر پیامهای دریافتی را به سرقت ببرد. بدافزار جاسوسی APT-C-23 میتواند صفحه نمایش (فیلم و تصویر) و همچنین تماسهای ورودی و خروجی را از طریق واتساپ ضبط کند و قادر است با ایجاد یک تداخل روی صفحه سیاه از یک تلفن غیرفعال، بهصورت مخفی تماس برقرار کند.
گروهی هکری پیشرفته APT-C-23 در سال ۲۰۱۵ از این بدافزار برای جاسوسی از موسسات نظامی و آموزشی استفاده کردهاند. جاسوسافزار APT-C-23 با نامهای مختلف Big Bang APT وTwo-tailed Scorpion توسط برخی شرکتهای امنیت سایبری ردیابی می شود. گروه هکری APT-C-23 بدافزارهایی را برای سیستمعاملهای ویندوز (KasperAgent ، Micropsia) و اندروید GnatSpy ، Vamp ، FrozenCell به کار گرفته که به اهدافی در خاورمیانه حمله کنند.
در مقایسه با نرمافزارهای جاسوسی قبلی برای اندروید، آخرین نسخه از APT-C-23 قابلیت فراتر از ضبط صدا، سرقت گزارشهای تماس، پیام کوتاه، مخاطبین و انواع پروندههای خاص مانندPDF ، DOC ، DOCX ، PPT ، PPTX ، XLS ، XLSX ، TXT ، JPG ، JPEG ، PNG را دارد.نسخه بهروزشده این نرمافزار جاسوسی به آن اجازه میدهد تا آن دسته از اعلان راهحلهای امنیتی را رد کند که در دستگاههای سامسونگ، شیائومی و هواووی اجرا میشوند، بنابراین بدافزار میتواند بدون جلب توجه، جاسوسی کند.
شیوه پنهان شدن در برنامههای جعلی
پایگاه اینترنتی bleepingcomputer نوشت: یک از محققان امنیتی، توییتی را آوریل سال جاری، منتشر و افشا کرد: قطعهای از نرمافزارهای جاسوسی از اندروید وجود دارد که میزان تشخیص آن در VirusTotal بسیار پایین است؛ با بررسی این نمونه، محققان شرکت ESET دریافتند که این بخشی از جعبه ابزار بدافزار است که توسط عامل تهدیدگر APT-C-23 استفاده میشود.
این محقق، حدود دو ماه بعد، نمونه جدیدی از همان بدافزار را پیدا کرد که در فایل نصب برنامه پیامرسان تلگرام موجود درDigitalApps (فروشگاه غیر رسمی اندروید) پنهان شده بود.
پس از آن، کارشناسان شرکت ESET دریافتند که بدافزار جاسوس در Threema یک پلت فرم پیامرسان ایمن و همچنین AndroidUpdate ، برنامهای که به عنوان بروزرسانی سیستم برای پلت فرم تلفن همراه ظاهر می شود، به صورت پنهان، وجود دارد.
کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتای ریاست جمهوری معتقدند استفاده از فروشگاه DigitalApps تنها یکی از روشهای توزیع عوامل تهدیدگر برای آلوده کردن قربانیان است زیرا برنامههای دیگری نیز وجود دارد که در فروشگاه موجود نیستند اما حاوی همان نرمافزار جاسوسی هستند، بنابراین کاربران سیستمهای اندرویدی همچنان باید برنامههای مورد نیاز خود را از فروشگاههای معتبر دانلود کنند