به گزارش شرکت مهندسی شبکه گستر، حدود یک ماه پیش یکی از شرکتهای ضدویروس از انتشار جاسوسافزاری تحت سیستم عامل اندروید خبر داد که حجم قابل توجهی از دادههای شخصی کاربر را از روی دستگاه جمعآوری کرده و آنها را به یک سرور در ایران ارسال میکند.
روز دوشنبه، 26 تیر ماه، شرکت ضدویروس Avast Software نیز گزارشی در خصوص این جاسوسافزار منتشر کرد که بیانگر فعال بودن آن با وجود گذشت یک ماه از شناسایی این جاسوسافزار است. مشروح این گزارش در ادامه این خبر قابل مطالعه است.
این جاسوسافزار در قالب چندین برنامک مختلف منتشر شده است. یکی از این برنامکها با عنوان “اینستا پلاس” ادعا میکند که تعداد بازدیدکنندگان نمایه تلگرام کاربر را نمایش میدهد. چند نمونه دیگر از این جاسوسافزار نیز در قالب برنامکهای Cleaner Pro و Profile Checker کاربر را تشویق به نصب آن میکنند.
عملکرد کد مخرب جاسوسافزار، تقریباً در همه این برنامکها یکسان بوده و هدف آن سرقت دادههای شخصی قربانی از روی دستگاه اندروید آلوده شده است. مکانیزم ارتباط این جاسوسافزار با سرور فرماندهی خود نیز از طریق توابع Telegram Bot صورت میگیرد و بنابراین نویسنده یا نویسندگان آن عملاً خود سیستمی برای این منظور برنامهنویسی و پیادهسازی نکردهاند.
به محض دریافت برخی از برنامکهای مذکور از کاربر خواسته میشود اطلاعات اصالتسنجی حساب تلگرام خود را وارد کند. برنامک دلیل این درخواست را اعلام تعداد کاربرانی که نمایه آن کاربر را مشاهده کرده اند معرفی میکند. اما در حقیقت این برنامک فقط یک عدد تصادفی را به کاربر نشان میدهد!
برنامک برای مدتی فعالیت خود را متوقف کرده و نشان خود را هم مخفی میکند. تا جایی که ممکن است بسیاری از کاربران تصور کنند که برنامک از روی دستگاه حذف شده است. اما پس از مدتی کد مخرب در پشت صحنه فعالیت خود را از سر میگیرد.
یکی از کارهایی که این برنامک انجام میدهد گرفتن عکس با استفاده از دوربین جلوی دستگاه است. اما جاسوسی آن محدود به انجام این کار نیست. اطلاعات تماس، پیامکهای دریافتی و ارسالی (شامل شماره تماس فرستنده یا گیرنده و متن پیامک)، اطلاعات حساب گوگل و موقعیت دستگاه همگی در فایلهایی جداگانه ذخیره شده و سپس به سرور مهاجم ارسال میشوند.
این جاسوس افزار قادر است که هر یک از فرامین زیر را از سرور فرماندهی دریافت کرده و آنها را بر روی دستگاه اجرا کند:
- برقراری تماس یا ارسال پیامک
- ارسال اطلاعات در خصوص برنامکهای نصب شده و فایلهای در دسترس
- ارسال هر فایل به سرور یا حتی حذف آنها
جاسوسافزار، فایلها را از طریق اسکریپت PHP به سرور فرماندهی ارسال کرده و آنها در مسیر rat/uploads/ بر روی سرور ذخیره میکند. به دلیل بیتوجهی نویسنده یا نویسندگان این جاسوسافزار به موارد امنیتی، این فایلها برای هر کس که از نشانی سرور و این مسیر اطلاع داشته باشد قابل دسترس هستند.
اسکریپت استفاده شده نیز بسیار ابتدایی بوده و ورودیها را کنترل و بررسی نمیکند.
شرکت Avast Software اعلام کرده که مسیر مذکور حاوی چندین فایل مخرب است که احتمالاً پس از انتشار خبر یک ماه قبل در خصوص این برنامک های آلوده، توسط افرادی دیگر – بغیر از نویسنده یا نویسندگان جاسوسافزار – کپی شده اند.
برای ایمن ماندن از گزند این نوع بدافزارها، رعایت موارد زیر توصیه میشود:
- سیستم عامل و برنامکهای نصب شده بر روی دستگاه همراه خود را همیشه به آخرین نسخه ارتقاء دهید.
- برنامکها را فقط از بازار توزیع دیجیتال رسمی شرکت Googleو (Play Store) یا حداقل بازارهای مورد اعتماد معروف دریافت کنید. همچنین از غیرفعال بودن گزینه Unknown sources در بخش Settings و از فعال بودن گزینه Scan device for security threats در قسمت Google Settings دستگاه اطمینان داشته باشید. با غیرفعال بودن گزینه نخست، از اجرا شدن فایلهای APK میزبانی شده در بازارهای ناشناخته بر روی دستگاه جلوگیری میشود. وظیفه گزینه دوم نیز پایش دورهای دستگاه است.
- پیش از نصب هر برنامک امتیاز و توضیحات کاربران آن را مرور کرده و به نکات منفی توضیحات کاربران بیشتر توجه کنید.
به حق دسترسیهای درخواستی برنامک در زمان نصب توجه کنید. اگر فهرست آن بهطور غیرعادی طولانی بود از نصب آن اجتناب کنید. - از راهکارهای امنیتی قدرتمند برای حفاظت از دستگاههای همراه خود یا سازمانتان استفاده کنید.