خلاصه: یک بدافزار جدید اندرویدکه کاربران واتسآپ را آلوده کرده است، پیامهای کاربران را به همراه دیگر اطلاعات حساس آن مثل تاریخچه مرورگر و عکسها، به سرقت میبرد. توصیه میکنیم در دانلود و استفادهی اپلیکیشنها دقت کرده و برنامههای مورد نیازتان را فقط از وبسایتهای رسمی دریافت کنید.
یک بدافزار جدید اندرویدکه کاربران واتسآپ را آلوده کرده است؛ پیامهای کاربران را به همراه دیگر اطلاعات حساس آن مثل تاریخچه مرورگر و عکسها، به سرقت میبرد.
این بدافزار عمدتاً برای جاسوسی هدفمند بر روی کاربران اندروید توسعه یافته و مشخص نیست که تحت نظارت چه مهاجمهایی، این موبایلها آلوده میشوند؟
فایل مربوط به کد اصلی بدافزار درصفحه Github تحت نام کاربری earthshakira یافت شده است.
لوکاس استفانکو پژوهشگر ESET کشف کرد که این بدافزار شامل MainActivity.class است که OwnMe.class را راهاندازی میکند و همچنین پس از اینکه تابع onSatrtCommand() اجرا شد سریعاً تابع startService() فراخوانی میشود.
نویسندگان بدافزار از تکنیکهایی برای جلوگیری از آشکار شدن هویت خود و دور زدن نرمافزارهای امنیتی استفاده میکنند.
این بدافزار در ابتدا پیام “Service started” را بر روی صفحه نمایش میدهد و با همین نشانه میتوان فهمید که هنوز در حال توسعه است.
چگونه پیام ها و دیگر اطلاعات واتسآپ را به سرقت میبرد؟
این بدافزار برای انجام فعالیتهای مخرب، با ارسال پیامهایی به قربانیان، توابع مختلفی را فراخوانی میکند. زمانیکه قربانیان، پیامی حاوی "WhatsApp" دریافت میکنند؛ بدافزار،تابع uploadWhatsApp() را فراخوانی میکند که این تابع برای سرقت پایگاه داده واتسآپبا استفاده از دستور ipofthec2/db/upload_whatsapp.phpمورد استفاده قرار میگیرد.
همچنین اگر پیام شامل "browser history" باشد این المان از JSON object v8 پاسخی دریافت میکند که مقدار بازگشتی از تابع getHistory() میباشد. در این مورد فقط بوکمارکهای ذخیره شده به سرقت میرود.
به طور مشابه توابع دیگر مثل getContacts()، getCallLogs()، getBase64(v8.get(“path)) و openCameraVideo()
برای سرقت اطلاعاتی مثل دوربین، مخاطبها ، گالری و... مورد استفاده قرار میگیرند.
توصیه میکنیم در دانلود و استفادهی اپلیکیشنها دقت کرده و برنامههای مورد نیازتان را فقط از وبسایتهای رسمی دریافت کنید.
