کشف بدافزار تهدید کننده تلفن های هوشمند کاربران ایرانی

متاسفانه بدافزار جدیدی در حال آلوده کردن دستگاه های هوشمند کاربران ایرانی میباشد. این قضیه به حدی مهم  است که حتی سایت Avast  و سایت drweb نیز به این قضیه اشاره کرده اند.

محققین امنیتی دکتر وب(وبسایت مشهور روسی که در زمینه امنیت دستگاه های هوشمند فعالیت دارد) یک تروجان(بدافزار، جاسوس) اندرویدی را شناسایی کرده اند که از طریق تلگرام اطلاعات کاربرانش را به سرقت میبرد. این برنامه اطلاعات محرمانه را سرقت میکند و دستورات سارقین را بر روی دستگاه کاربر اجرا میکند.

تروجان Android.Spy.377.origin که در قالب اپلیکیشن های زیر بر روی گوشی کاربر نصب شده و در اصل یک نوع رات(Rat = remote administration tool) میباشد، در واقع ابزاری برای دسترسی به دستگاه هوشمند اندرویدی برای برنامه نویس این تروجان میباشد. این تروجان در قالب برنامه های مانند "اینستاپلاس" و "پروفایل چکر" و همچنین " Cleaner Pro " بر روی گوشی کاربر نصب میشود.

بعد از نصب این برنامه ها، تروجان مانند دیگر برنامه های مشهور از شما یک سری اطلاعات را میخواهد. برای انجام اینکار، از شما درخواست ID  تلگرام تان را کرده و سپس تعداد بازدیدکننده پروفایلتان را به شما نشان خواهد داد. ولی در واقع تروجان به هیچ وجه نمیتواند تعداد افرادی را که از پروفایلتان بازدید میکند، شناسایی کند، بلکه فقط با هر بار درخواست کاربر، یک عدد اتفاقی تولید کرده و به کاربر نشان میدهد، تا کاربر فرض کند که این تعداد افراد از پروفایل وی بازدید کرده اند. بعد از راه اندازی Android.Spy.377.origin، میانبر خود را از صفحه اصلی دستگاه حذف کرده و آیکون خود را پنهان میسازد تا از دید کاربر پنهان بماند
، و در پس زمینه به کار خود ادامه دهد.

اصلی ترین چیزی که این تروجان را از سایر بدافزار ها یا تروجان ها جدا میسازد، این نکته میباشد که مجرمان سایبری آن را کنترل میکنند. طبق تحقیقات محققین سایت دکتر وب(drweb) این نخستین تروجانی میباشد که اینگونه از از طریق پروتکل تلگرام اقدام به دزدیدن اطلاعات کاربران ایرانی میکند.

بعد از حذف میانبراز صفحه اصلی دستگاه، Android.Spy.377.origin شروع به کپی مخاطبین، پیامک های ورودی و خروجی، و همچنین حساب های گوگل(Gmail,Google +,…) فرد قربانی میکند. سپس اطلاعات را در یک فایل متنی در مسیر خود تروجان ذخیره میکند. بعلاوه تروجان با استفاده از دوربین جلو، از صورت صاحب دستگاه نیز یک عکس میگیرد. سپس بدافزار جاسوسی، عکس ها و فایل ها را با داده های سرقت شده به سرور فرستاده و یک سیگنال به ربات تلگرامی ارسال میکند، تا نشان دهد که این دستگاه با موفقیت آلوده شده است.

در زیر میتوانید فایل هایی را که توسط Android.Spy.377.origin منتقل داده شده و سرقت شده اند را ببینید.

هنگامیکه اطلاعات به سرقت رفت، تروجان Android.Spy.377.origin دوباره به ربات متصل شده تا دستورات کنترل را دریافت کند. تروجان میتواند دستورات زیر را دریافت کند:

• تماس-برقراری تماس تلفنی.

• ارسال پیام-فرستادن پیامک.

• دریافت برنامه های نصب شده-ارسال لیستی از برنامه های نصب شده بر روی دستگاه آلوده شده.

• دسترسی به فایل ها-فرستادن همه فایل ها ممکن به سرور.

• دسترسی به موقعیت کاربر-فرستادن موقعیت کاربر به سرور.

• آپلود-اپلود فایل از سرور به دستگاه آلوده شده.

• حذف تمامی فایل های مشخص شده کاربر از خط فرمان.

• حذف تمامی گروه ها.

• ارسال همه فایل های شامل همه پیامک ها و تماس های ورودی و خروجی و محتویات پیام و حتی ارسال نام فرستنده پیام و شماره آن به سرور.

محققین امنیتی دکتر وب به تمامی کاربران هشدار استفاده از برنامه های مشکوک را میدهد. برای اینکه کاربران به اینگونه تروجان ها آلوده نشوند، فقط باید از مارکت های رسمی مانند گوگل پلی و ... برنامه هایشان را دانلود و نصب کنند. همه نسخه های Android.Spy.377.origin توسط نرم افزار اندرویدی Dr.Web(آنتی ویروس) با موفقیت شناسایی شدند، بنابراین دیگر هیچ خطری کاربران اندروید را تهدید نمیکند.

منبع : news.drweb.com