نفوذ نرمافزارهای جاسوسی از طریق پیامرسان های جعلی
محققان امنیتی با ردیابی یک نمونه بدافزار نسبتا شناخته شده، نرم افزار جاسوسی اندرویدی جدیدی را ردیابی کردند که از طریق پیامرسانهای جعلی مانند Threema ، Telegram و WeMessage توزیع میشد.
با بررسیهای شرکت ESET مشخص شده است که لیست ویژگیهای این بدافزار با نام APT-C-23 ، شامل امکان بی صدا کردن اعلانهای برنامههای امنیتی با دستگاههای سامسونگ ، شیائومی و هواوی است که اجازه میدهد حتی در صورت شناسایی فعالیت آن، مخفی بماند.
علاوه بر این، بدافزار میتواند اعلانهای برنامههای پیامرسانهای WhatsApp ، Facebook ، Telegram ، Instagram ، Skype ، Messenger وViber را بخواند و به طور موثر پیامهای دریافتی را به سرقت ببرد.
بدافزار جاسوسی APT-C-23 میتواند صفحه نمایش (فیلم و تصویر) و همچنین تماسهای ورودی و خروجی را از طریق واتس اپ ضبط کند و نیز قادر است با ایجاد یک تداخل روی صفحه سیاه از یک تلفن غیرفعال، به صورت مخفی تماس برقرار کند.
گروهی هکری پیشرفته APT-C-23 در سال ۲۰۱۵ از این بدافزار برای جاسوسی از موسسات نظامی و آموزشی استفاده کردهاند.
جاسوس افزار APT-C-23 با نامهای مختلف Big Bang APT وTwo-tailed Scorpion توسط برخی شرکتهای امنیت سایبری ردیابی می شود.
گروه هکری APT-C-23 بدافزارهایی را برای سیستمعاملهای ویندوز (KasperAgent ، Micropsia) و اندروید GnatSpy ، Vamp ، FrozenCell به کار گرفته که به اهدافی در خاورمیانه حمله کنند.
در مقایسه با نرمافزارهای جاسوسی قبلی برای Android، آخرین نسخه از APT-C-23 قابلیت فراتر از ضبط صدا ، سرقت گزارشهای تماس ،پیام کوتاه ، مخاطبین و انواع پروندههای خاص مانندPDF ، DOC ، DOCX ، PPT ، PPTX ، XLS ، XLSX ، TXT ، JPG ، JPEG ، PNG را دارد.
نسخه به روز شده این نرم افزار جاسوسی به آن اجازه میدهد تا آن دسته از اعلان راهحلهای امنیتی را رد کند که در دستگاه های سامسونگ، شیائومی و هواووی اجرا میشوند، بنابراین بدافزار میتواند بدون جلب توجه، جاسوسی کند.
شیوه پنهان شدن در برنامههای جعلی
پایگاه اینترنتی bleepingcomputer نوشت: یک از محققان امنیتی، توییتی را آوریل سال جاری، منتشر و افشا کرد: قطعهای از نرمافزارهای جاسوسی از اندروید وجود دارد که میزان تشخیص آن در VirusTotal بسیار پایین است؛ با بررسی این نمونه، محققان شرکت ESET دریافتند که این بخشی از جعبه ابزار بدافزار است که توسط عامل تهدیدگر APT-C-23 استفاده میشود.
این محقق، حدود دو ماه بعد، نمونه جدیدی از همان بدافزار را پیدا کرد که در فایل نصب برنامه پیامرسان تلگرام موجود درDigitalApps (فروشگاه غیر رسمی اندروید) پنهان شده بود.
پس از آن، کارشناسان شرکت ESET دریافتند که بدافزار جاسوس در Threema یک پلت فرم پیامرسان ایمن و همچنین AndroidUpdate ، برنامهای که به عنوان بروزرسانی سیستم برای پلت فرم تلفن همراه ظاهر می شود، به صورت پنهان، وجود دارد.
کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتای ریاست جمهوری معتقدند: استفاده از فروشگاه DigitalApps تنها یکی از روشهای توزیع عوامل تهدیدگر برای آلوده کردن قربانیان است زیرا برنامههای دیگری نیز وجود دارد که در فروشگاه موجود نیستند اما حاوی همان نرمافزار جاسوسی هستند، لذا کاربران سیستمهای اندرویدی همچنان باید برنامههای مورد نیاز خود را از فروشگاههای معتبر دانلود کنند.
منبع: مرکز مدیریت راهبردی افتای ریاست جمهوری