جاسوسی در پس برنامک‌های در ظاهر معتبر Play Store

شرکت ترند مایکرو از شناسایی یک جاسوس‌افزار تحت سیستم عامل Android با نام MobSTSPY خبر داده که در قالب برنامک‌های به ظاهر معتبر اقدام به سرقت اطلاعات کاربر می‌کرده است. برنامک‌های مذکور برای مدتی در بازار رسمی گوگل، Play Store قابل دسترس بوده‌اند. گفته می‌شود تنها یکی از این برنامک‌ها بیش از 100 هزار بار توسط کاربران در کشورهای مختلف دریافت و نصب شده است. در فهرست ترند مایکرو نام ایران نیز به‌عنوان یکی از کشورهایی که برخی کاربران آن اقدام به دریافت و نصب برنامک‌های حاوی MobSTSPY نموده‌اند به چشم می‌خورد.

عناوین این برنامک‌ها عبارتند از:

• Flappy Birr Dog
• FlashLight
• HZPermis Pro Arabe
• Win7imulator
• Win7Launcher
• Flappy Bird

به گزارش شرکت مهندسی شبکه گستر، MobSTSPY قادر به سرقت اطلاعاتی همچون موقعیت کاربر، پیامک‌ها، سوابق تماس‌ها و محتوای بریده‌دان (Clipboard) است. این جاسوس‌افزار از سرویس‌‌دهنده Firebase برای انتقال اطلاعات سرقت شده به سرورهای فرماندهی خود استفاده می‌کند.

به‌محض اجرا، جاسوس‌افزار، دسترسی شبکه‌ای دستگاه را مورد بررسی قرار می‌دهد. در ادامه یک فایل XML حاوی تنظیمات مورد نظر مهاجمان از سرور فرماندهی دریافت می‌شود.

پس از آن MobSTSPY اطلاعات خاصی همچون زبان استفاده‌شده و سازنده دستگاه را جمع‌آوری و با ارسال آنها به سرور فرماندهی، عملا دستگاه آلوده شده در سرور فرماندهی ثبت می‌گردد. در ادامه جاسوس‌افزار در انتظار می‌ماند تا فرامین از سوی سرور فرماندهی به آن ارسال شود.

MobSTSPY از فرامینی همچون سرقت ارتباطات پیامکی، فهرست‌های تماس، فایل‌ها و سوابق تماس‌ها پشتیبانی می‌کند.

همچنین MobSTSPY دارای قابلیتی است که اجرای حملات فیشینگ را فراهم می‌کند. بدین‌نحو که با نمایش پیام‌های جعلی فیس‌بوک و گوگل کاربر متقاعد می‌شود تا ایمیل و رمز عبور خود را در پنجره فیشینگ تحت کنترل جاسوس‌افزار وارد کند.

مشروح گزارش ترند مایکرو در اینجا قابل دریافت است.

لازم به ذکر است که در زمان انتشار این گزارش کلیه برنامک‌های جعلی اشاره شده در این مطلب از بازار Play Store حذف شده و دیگر قابل دسترس نمی‌باشند.

همچون همیشه برای ایمن نگاه داشتن دستگاه‌های مبتنی بر سیستم عامل Android، رعایت موارد زیر توصیه می‌شود:

• سیستم عامل و برنامک‌های نصب شده بر روی دستگاه همراه خود را همیشه به آخرین نسخه ارتقاء دهید.
• برنامک‌ها را فقط از بازار توزیع دیجیتال رسمی شرکت گوگل (Play Store) یا حداقل بازارهای مورد اعتماد معروف دریافت کنید. همچنین از غیرفعال بودن گزینه Unknown sources در بخش Settings و از فعال بودن گزینه Scan device for security threats در قسمت Google Settings دستگاه اطمینان داشته باشید. با غیرفعال بودن گزینه نخست، از اجرا شدن فایل‌های APK میزبانی شده در بازارهای ناشناخته بر روی دستگاه جلوگیری می‌شود. وظیفه گزینه دوم نیز پایش دوره‌ای دستگاه است.
• پیش از نصب هر برنامک امتیاز و توضیحات کاربران آن را مرور کرده و به نکات منفی توضیحات کاربران بیشتر توجه کنید.
• به حق دسترسی‌های درخواستی برنامک در زمان نصب توجه کنید. اگر فهرست آن به‌طور غیرعادی طولانی بود از نصب آن اجتناب کنید.
• از راهکارهای امنیتی قدرتمند برای حفاظت از دستگاه‌های همراه خود یا سازمانتان استفاده کنید.