info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

جاسوسی روی برنامه‌های رسانه‌های اجتماعی توسط جاسوس‌افزار اندرویدی Tizi

خلاصه: تاکنون گوگل ۱۳۰۰ دستگاه اندرویدی آلوده به Tizi را شناسایی کرده و آن را حذف کرده است. Tizi بر روی دستگاه‌های هدفمند در کشورهای آفریقایی کشف شده است و یک درب‌پشتی اندرویدی با قابلیت‌های rooting است که برنامه‌های جاسوسی را بر روی دستگاه قربانی نصب می‌کند. این جاسوس‌افزار داده‌های حساس را از برنامه‌های رسانه‌های اجتماعی مانند توییتر، فیس‌بوک، WhatsApp، وایبر، اسکایپ، لینکدین و تلگرام می‌دزدد.

در تلاش برای محافظت بیشتر از کاربران اندروید در برابر بدافزار‌ها و برنامه‌های مشکوک، گوگل به کار برای تشخیص و حذف برنامه‌های مخرب از دستگاه‌ها با استفاده از سرویس تازه راه‌اندازی شده‌ی خود به‌نام Play Protect می‌پردازد.

Google Play Protect یک ویژگی امنیتی است که از یادگیری ماشین و تحلیل نحوه استفاده‌ی برنامه برای بررسی دستگاه‌ها برای تشخیص پتانسیل برنامه‌های مضر استفاده می‌کند. این سرویس اخیراً به محققان گوگل برای شناسایی یک خانواده‌ی جدید از جاسوس‌افزارهای اندرویدی کمک کرده است.

Tizi بر روی دستگاه‌هایی در کشورهای آفریقایی کشف شده است.  این بدافزار یک درب‌پشتی اندرویدی با قابلیت‌های rooting  است که برنامه‌های جاسوسی را بر روی دستگاه قربانی نصب می‌کند. این جاسوس‌افزار داده‌های حساس را از برنامه‌های رسانه‌های اجتماعی مانند توییتر، فیس‌بوک، WhatsApp، وایبر، اسکایپ، لینکدین و تلگرام می‌دزدد.

بیشتر برنامه‌های آلوده‌ی Tizi در وب‌سایت‌های رسانه‌های اجتماعی تبلیغ‌می‌شوند و کاربران را برای نصب آن‌ها فریب می‌دهند.

پس از نصب، برنامه به دسترسی root دستگاه آلوده‌شده برای نصب جاسوس‌افزار دست می‌یابد. سپس اول با ارسال یک پیام متنی با مختصات GPS دستگاه آلوده شده به یک شماره‌ی خاص،  با سرورهای کنترل و فرمان خود ارتباط برقرار می‌کند.

برای به‌دست آوردن دسترسی root، درب پشتی از آسیب‌پذیری‌های کشف‌شده در chipsetها دستگاه‌ها و نسخه‌های اندروید قدیمی ازجمله CVE-2012-4220, CVE-2013-2596, CVE-2013-2597, CVE-2013-2595, CVE-2013-2094, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636, CVE-2015-1805 بهره‌برداری می‌کند.

اگر درب‌ پشتی به‌ خاطر وصله ‌شدن همه‌ی آسیب‌پذیری‌های لیست ‌شده قادر به گرفتن دسترسی ریشه به دستگاه آلوده ‌شده نباشد، برای انجام اقداماتی از طریق مجوزهای سطح بالایی که از کاربر درخواست می‌کند، تلاش می‌کند.

جاسوس‌افزار Tizi برای ارتباط با سرورهای کنترل و فرمانش از طریق HTTPS یا با استفاده از پروتکل MQTT، برای دریافت دستورات از طرف مهاجمان و بارگذاری داده‌های دزدیده شده نیز طراحی شده است.

درب‌پشتی Tizi قابلیت‌های مختلفی که برای باج‌افزار‌های تجاری رایج است را شامل می‌شود. این قابلیت‌ها عبارتند از:

  • دزدیدن داده از پلتفرم‌های رسانه‌های اجتماعی شامل فیس‌بوک، توییتر، …
  • ضبط صدا از WhatsApp وایبر و اسکایپ
  • ارسال و دریافت پیام‌های SMS
  • دسترسی به رخدادهای تقویم، log تماس، مخاطبان، عکس‌ها و لیست برنامه‌های نصب شده
  • دزدیدن کلیدهای رمزنگاری Wi-Fi
  • ضبط صدای محیط و گرفتن عکس بدون نمایش تصویر برروی صفحه نمایش دستگاه

تاکنون گوگل ۱۳۰۰ دستگاه اندرویدی آلوده به Tizi را شناسایی کرده و آن را حذف کرده است. چنین نرم‌افزارهای جاسوسی اندرویدی می‌توانند برای هدف قرار دادن دستگاه شما نیز مورد استفاده قرار گیرند بنابراین به شما توصیه می‌شود که این گام‌های ساده را برای محافظت از خود دنبال کنید:

  • اطمینان حاصل کنید که قبلاً Google Play Protect را برگزیده‌اید.
  • برنامه‌ها را فقط از Play Store دانلود کنید و همیشه مجوزهای همه‌ی برنامه‌ها را بررسی کنید.
  • ویژگی «verify apps» را از تنظیمات فعال‌سازی کنید.
  • از دستگاه خود با استفاده از pin یا قفل پسورد محافظت کنید بنابراین هیچ‌کس نمی‌تواند به دستگاه شما دسترسی غیرمجاز داشته باشد.
  • «unknown resources» را زمانی که از آن استفاده نمی‌کنید، غیرفعال کنید.
  • همیشه دستگاه خود را با آخرین وصله‌های امنیتی به‌روز نگه دارید.

 

مطالب مرتبط