info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

جاسوس‌افزاری اندرویدی برای سرقت داده‌ها از پیام‌رسان‌ها

خلاصه: محققان اخیرا یک خانواده جاسوس‌افزار اندرویدی جدید به نام BusyGasper را کشف کرده‌اند که از طریق عوامل ناشناس توزیع شده و شامل ابزارهای جاسوسی منحصربه‌فردی برای استخراج داده از برنامه‌های پیام‌رسان مانند واتساپ، فیسبوک است. به‌گفته‌ی محققان این بدافزار به‌صورت عمده بر روی دستگاه‌های Asus تمرکز دارد.

 

محققان اخیرا یک خانواده جاسوس‌افزار اندرویدی جدید به نام BusyGasper را کشف کرده‌اند که از طریق عوامل ناشناس توزیع شده و شامل ابزارهای جاسوسی منحصربه‌فرد و ویژگی‌هایی مانند شنونده‌ی حسگرهای دستگاه و آشکارسازهای حرکت می‌باشد. گفته می‌شود که BusyGasper قادر به استخراج داده از اپلیکیشن‌های پیام‌رسان مانند واتساپ، وایبر، فیسبوک و قابلیت‌های keylogging است.

این جاسوس‌افزار از سرور FTP برای دانلود پیلود یا به‌روزرسانی با استفاده از سرور کنترل و فرمان استفاده می‌کند و تحقیقات نشان می‌دهد که یک سرویس میزبانی وب روسی به نام Ucoz دسترسی به سرور FTP را برای آن فراهم می‌کند.

این بدافزار از سال ۲۰۱۶ در حال فعالیت است و مهاجمان با استفاده از دسترسی فیزیکی به قربانی‌ها، این بدافزار را نصب کرده و بیشتر قربانیان روسی را هدف قرار می‌دهند.

گفته می‌شود مهاجمان به‌صورت عمده بر روی دستگاه‌های Asus تمرکز می‌کنند و اطلاعات جمع‌آوری شده از حساب‌های ایمیل، مقادیر زیادی داده‌ی شخصی از قربانیان شامل پیام‌های برنامه‌های پیام‌رسان را فراهم می‌کند. براساس تحلیل جاسوس‌افزار BusyGasper، این بدافزار فاقد رمزنگاری، طراحی شده است و از یک سرور FTP عمومی استفاده می‌کند، سطح پایین امنیت عملیات آن نشان‌دهنده‌ی مهارت کم توسعه‌دهندگان این بدافزار است.

در این حمله، ایتدا اولین ماژول روی دستگاه قربانی نصب می‌شود، و با کنترل از طریق پروتکل IRC، استقرار سایر کامپوننت‌ها را فراهم می‌کند.

شواهدی مبنی بر این که مهاجمان از اکسپلویتی برای رسیدن به دسترسی روت استفاده می‌کنند وجود ندارد، بنابراین محققان معتقدند که مهاجمان از کامپوننت‌هایی غیرقابل مشاهده برای به‌دست آوردن امتیازات بیشتر استفاده می‌کنند. ماژول دوم به دزدیدن فایل لاگ می‌پردازد این فایل بعدا به سرور FTP آپلود شده و به ایمیل یا شماره‌ی مهاجم ارسال می‌شود.

پس از آن کیلاگر نصب می‌شود بنابراین کاراکترهای فشرده شده را با تطابق مقادیر داده شده با محدوده‌های سخت‌افزاری، محاسبه می‌کند.

براساس گفته‌ی کسپراسکی یک منو (Activity) پنهان شده برای کنترل ویژگی‌های جاسازی شده وجود دارد، که به‌نظر می‌رسد برای کنترل دستی اپراتور ساخته شده است. برای فعال کردن این منو، اپراتور نیاز دارد تا شماره‌ی سخت‌افزاری "۹۹۹۰" را از دستگاه آلوده شده، فراخوانی کند.

در نهایت مهاجم از ftp://213.‎174.‎157[.‎]‎151/ به‌عنوان یک سرور کنترل و فرمان برای به‌اشتراک گذاری داده‌های سرقت شده استفاده می‌کند.

 

    

مطالب مرتبط