شناسایی جاسوس‌افزار پیشرفته Chrysaor

به گزارش شرکت مهندسی شبکه گستر، محققان شرکت‌های Google و Lookout گزارشی را منتشر کرده‌اند که در آن یک جاسوس‌افزار بسیار پیشرفته با نام Chrysaor که توانایی اجرا شدن بر روی دستگاه‌های با سیستم عامل Android را دارد مورد بررسی قرار گرفته است.

این بدافزار شباهت‌های فراوانی با Pegasus، دیگر جاسوس‌افزار مخرب و پیشرفته دستگاه‌های همراه دارد. 

در سال گذشته میلادی شناسایی جاسوس‌افزار Pegasus که توسط یک شرکت صهیونیستی با نام NSO Group به فروش می‌رسید توجه رسانه‌ها را به خود جلب کرد. این جاسوس‌افزار با بهره‌جویی از ضعف‌های امنیتی روز صفر سیستم عامل iOS دستگاه‌های با این سیستم عامل را هدف قرار می‌داد.

NSO Group با فروش این برنامک به دولت‌ها و سازمان‌های امنیتی در کشورهای مختلف آنها را قادر به جاسوسی از اهداف خود می‌کرد.

در آن زمان گفته می‌شد که Pegasus پیشرفته‌ترین بدافزار تحت سیستم عامل iOS بوده که از چندین آسیب‌پذیری روز صفر برای آلوده ساختن دستگاه‌های iPhone و جمع‌آوری داده‌ها از روی آنها استفاده می‌کرده است.

مستندات تبلیغاتی NSO Group حاکی از آن بود که این شرکت نسخه‌ای مشابه با Pegasus نیز برای دستگاه‌های با سیستم عامل Android ارائه کرده بوده.

بررسی‌های بیشتر محققان امنیتی منجر به شناسایی بدافزار جدید Chrysaor شد.

به گزارش شرکت مهندسی شبکه گستر، از جمله قابلیت‌های Chrysaor می‌توان به موارد زیر اشاره کرد:

• ثبت کلیدهای زده شده
• پاسخگویی مخفیانه تماس‌های تلفنی (کاربر صفحه‌ای سیاه را مشاهده می‌کند و اگر دستگاه را از حالت Lock خارج کند تماس تلفنی به سرعت قطع می‌شود.)
• تصویربرداری از پنجره برنامک فعال
• جاسوسی از کاربر از طریق دوربین‌های جلو و پشت گوشی
• استفاده از ContentObserver Framework برای جمع‌آوری هر به‌روزرسانی برنامک‌های SMS،و Calander،و Contacts،و Cell info،و Email،و WhatsApp،و Facebook،و Twitter،و Kakao،و Viber و Skype
• جمع‌آوری داده‌هایی نظیر تنظیمات SMS، پیامک‌ها، سوابق تماس‌ها، سوابق سایت‌های فراخوانی شده در مرورگر، تقویم‌ها، فهرست تماس‌ها و ایمیل‌ها
• سرقت پیام‌ها از برنامک‌های ارتباطی همچون WhatsApp،و Twitter،و Facebook،و Kakoa،و Viber و Skype
• استفاده از قابلیت هشدار برای تکرار عملیات مخرب در بازه‌های زمانی مشخص
• نصب خود در پوشه system/ برای ماندگاری  حتی پس از Reset Factory شدن دستگاه
• از کار انداختن قابلیت به‌روزرسانی خودکار دستگاه
• غیرفعال کردن قابلیت WAP Push Messages برای دشوار نمودن بررسی قانونی دستگاه
• حذف خود در زمان دریافت فرمان یا در صورت در دسترس نبودن سرور فرماندهی

اکثر این قابلیت‌ها می‌توانند از طریق درخواست‌های HTTP از سرور فرماندهی و حتی از راه پیامک فعال مورد استفاده مهاجمان قرار بگیرند.

برخی کارشناسان بر این باورند Chrysaor به مراتب از Pegasus نیز مخرب‌تر بوده است.

مشخص نیست که قربانیان این جاسوس‌افزار مخرب چه کسانی بوده‌اند. اما شرکت Google اعلام کرده که Chrysaor را بر روی ده‌ها دستگاه که عمدتاً در فلسطین اشغالی، گرجستان، مکزیک و ترکیه بوده‌اند شناسایی کرده است. این شرکت نحوه آلوده شدن تمامی این دستگاه‌ها را دریافت برنامک مخرب از بازارهای توزیع دیجیتال غیررسمی می‌داند.

تاریخ ساخت نمونه فایل مخرب بررسی شده به سال 2014 میلادی باز می‌گردد. بنابراین احتمال داده می‌شود که تعداد قربانیان فراتر از این آمار بوده باشد.

قابلیت Verify Apps در دستگاه‌های با سیستم عامل Android می‌تواند از اجرا شدن این جاسوس‌افزار بر روی دستگاه جلوگیری کند. برای فعال کردن این قابلیت می‌بایست به بخش Settings > Google > Security > Scan device for security threats مراجعه شود.

جزییات کامل Chrysaor در اینجا قابل دریافت و مطالعه است.