info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

جاسوس‌افزار اندرویدی علیه کاربران ایرانی!

خلاصه: محققان امنیتی شرکت Dr.Web تروجان اندرویدی را کشف نموده‌اند که با استفاده از تلگرام از ایرانیان جاسوسی می‌کند. این بدافزار اطلاعات کاربران را سرقت نموده و اعمال خرابکارانه روی دستگاه قربانی انجام می‌دهد. این بدافزار با نام‌هایی جذاب مانند «اینستا پلاس» یا «پروفایل چکر» کاربران را تشویق به نصب خود می‌کند.

محققین شرکت  امنیتی دکتر وب تروجان اندرویدی به نام Android.Spy.377.origin کشف نموده که در واقع یک ابزار مدیریت از راه دور یا RAT است. این تروجان با نام برنامه‌های مختلفی کاربران ایرانی را هدف قرار داده است. این تروجان می‌تواند تحت عنوان برنامه‌هایی همچون «اینستا پلاس»، «پروفایل چکر» و "Cleaner Pro" روی تلفن‌های هوشمند نصب می‌شوند.

پس از نصب این بدافزار، زمانی که اجرا می‌شود به کاربر پیشنهاد می‌کند که محبوبیت کاربر را بین کاربران تلگرام بررسی کند و برای این منظور از کاربر مشخصات ورود به تلگرام را طلب می‌کند. پس از اینکه قربانی اطلاعات را در اختیار برنامه گذاشت، تروجان تعداد بازدید کنندگان از پروفایل شخص را به آن نشان می‌دهد. اما در واقع تروجان هیچ بررسی انجام نمی‌دهد و تنها یک عدد تصادفی به کاربر نشان می‌دهد. اندکی بعد برنامه میان‌بر خود را از صفحه برنامه‌ها پاک می‌کند تا اعمال خرابکارانه خود را از دید کاربر پنهان کند.

Android.Spy.‎377.origin یک جاسوس‌افزار کلاسیک است که توانایی اجرای دستورات خرابکارانه را دارد. مهم‌ترین ویژگی این جاسوس‌افزار که آن را از دیگر هم‌نوعان خود مجزا می‌کند نحوه کنترل آن است. این بدافزار برای اولین بار از پروتکل تبادل پیام تلگرام استفاده می‌کند.

پس از پاک کردن آیکون برنامه، Android.Spy.377.origin لیست مخاطبین، پیام‌های کوتاه  ارسالی و دریافتی و اطلاعات حساب‌های کاربری گوگل را کپی می‌کند و در یک فایل در مسیر برنامه کپی می‌کند. علاوه بر این، تروجان اقدام به گرفتن عکس با دوربین جلوی گوشی می‌کند تا از صاحب تلفن همراه تصویر تهیه کند. پس از آن بدافزار اطلاعات جمع‌آوری شده را با سرور کنترل و فرمان به اشتراک می‌گذارد و به بات تلگرامی بدافزار نیز یک سیگنال می‌فرستد و اعلام می‌کند که این دستگاه آلوده شده است.

پس از سرقت اطلاعات کاربر، بدافزار به بات تلگرامی کنترل کننده خود متصل شده و منتظر دریافت دستور می‌شود. دستوراتی از قبیل برقراری تماس، ارسال پیام کوتاه، نصب برنامه، ارسال فایل، مشخص کردن موقعیت مکانی، حذف فایل‌ها و دیگر دستورات خرابکارانه می‌تواند از طریق بات به بدافزار روی تلفن آلوده ارسال شود. پس از اجرای هر دستور خرابکارانه، بدافزار نتیجه را به بات تلگرامی گزارش می‌دهد. همچنین تروجان متناوبا پیام‌های کوتاه ارسالی و دریافتی و مکان کاربر را به ربات تلگرامی گزارش می‌دهد.

با توجه به استفاده بیش از پیش از تلفن‌های همراه در زمینه‌های مختلف امنیت این دستگاه‌ها بسیار اهمیت دارند. امروزه کاربران تقریبا در همه‌ جا گوشی‌های هوشمند خود را همراه دارند و از این ابزار هوشمند برای پاسخ به بسیاری از نیاز‌ها استفاده می‌کنند. انجام عملیات بانکی، به اشتراک گذاشتن تصاویر و فیلم‌های شخصی، گرفتن عکس و حتی ثبت اطلاعات سلامت در تلفن همراه انجام می‌شود. پس مورد تهاجم قرار گرفتن این ابزار می‌تواند از جنبه‌های مختلف یک شخص را تهدید کند.

برای حفظ امنیت تلفن همراه مهم‌ترین نکته استفاده از برنامه‌های قابل اعتماد است. توصیه می‌شود تا حد امکان برنامه‌های مورد نیاز خود را از گوگل‌پلی یا دیگر بازار‌های معتبر دانلود کنید. همچنین از برنامه‌های تولیدکنندگان معتبر استفاده کنید. تا حد امکان از برنامه‌های غیر رسمی برای پیام‌رسان‌ها و شبکه‌های اجتماعی استفاده نکنید. همچنین برنامه‌هایی که از طریق ایمیل یا شبکه‌های اجتماعی برای شما ارسال می‌شوند نصب نکنید؛ حتی برنامه‌های رسمی و معتبر نیز می‌توانند توسط هکر‌ها آلوده شوند و از راه‌هایی که اصالت آن‌ها بررسی نمی‌شود در اختیار شما قرار داده شوند.