نماد سایت اتاق خبر شبکه گستر

کشف یک جاسوس‌افزار جدید اندرویدی

یک برنامه جاسوس‌افزار اندرویدی جدیدی شناسایی شده که به‌عنوان یک سرویس «Process Manager» ظاهر می‌شود و به‌طور مخفیانه اطلاعات حساس ذخیره‌شده در دستگاه‌های آلوده را سرقت می‌کند.

نام فایل نصب این برنامه “com.remote.app” است و در زمان اجرا با سرور کنترل و فرمان‌دهی 240[.]82.146.35 (Command-and-Control – به اختصار C2) که قبلاً توسط گروه نفوذگران روسی Turla بکار گرفته می‌شد، ارتباط برقرار می‌کند. 

پویش این برنامه مخرب در سایت Virus Total در نشانی زیر قابل مشاهده می‌باشد.

https://www.virustotal.com/gui/file/e0eacd72afe39de3b327a164f9c69a78c9c0f672d3ad202271772d816db4fad8

هنگام اجرای برنامه، هشداری در خصوص مجوزهای اعطاء شده به برنامه ظاهر می‌شود. این مجوزها عبارتند از باز کردن قفل صفحه نمایش، قفل کردن صفحه نمایش، تنظیم پروکسی دستگاه، تنظیم تاریخ انقضای رمز قفل صفحه، رمزگذاری منابع ذخیره‌سازی دستگاه و غیرفعال کردن دوربین‌ها.

پس از فعالسازی برنامه، بدافزار نماد چرخ دنده شکل خود را از صفحه اصلی حذف نموده و در پس‌زمینه اجرا می‌شود و از مجوزهای گسترده خود جهت دسترسی به اطلاعات مخاطبین دستگاه و گزارش‌های تماس، ردیابی موقعیت مکانی آنها، ارسال و خواندن پیام‌ها، دسترسی به حافظه خارجی، گرفتن عکس و ضبط صدا سوءاستفاده می‌کند.

 

 

اطلاعات جمع‌آوری‌شده در قالب JSON ذخیره شده و متعاقباً به سرور کنترل و فرمان‌دهی منتقل می‌شود. با وجود استفاده همزمان از سرور C2، شواهد کافی برای نسبت دادن قطعی این جاسوس‌افزار به گروه Turla وجود ندارد.

همچنین در این مرحله، روش توزیع اولیه جاسوس‌افزار و اهداف مورد نظر کارزار، شناسایی نشده است. ولی با این حال، جاسوس‌افزار مذکور سعی می‌کند یک برنامه‌ واقعی و قانونی به نام Roz Dhan  (به معنی ثروت روزانه) را که در Google Play موجود است، دریافت و نصب کند. برنامه Roz Dhan که بیش از 10 میلیون بار نصب شده، به کاربران امکان می‌دهد بابت شرکت در نظرسنجی‌ها و تکمیل پرسشنامه‌ها جوایز نقدی دریافت کنند. این برنامه دارای یک گزینه پاداش بابت “معرفی کاربر جدید” (Referral) است که توسط جاسوس‌افزار مورد سوءاستفاده قرار می‌گیرد و مهاجم با نصب آن بر روی دستگاه‌های قربانی، درآمد کسب می‌کند.

مشروح گزارش در خصوص این جاسوس‌افزار در نشانی زیر قابل دریافت و مطالعه است:

https://lab52.io/blog/complete-dissection-of-an-apk-with-a-suspicious-c2-server/

 

منبع:

https://thehackernews.com/2022/04/researchers-uncover-new-android-spyware.html

خروج از نسخه موبایل