۱۳۹۸-۰۴-۱۱ ۱۰:۰۵
تنظیم اندازه قلم

پ

۲:۳۵
اخبار فناوری

نرم افزار Legit باهدف قرار دادن کاربران اندروید در خاورمیانه به نرم افزار جاسوسی تبدیل شده است

محققان امنیتی سایبری هشدار داده‌اند که یک کمپین مداوم تروجان‌های اندرویدی که از سال ۲۰۱۶ فعال بوده است، دوباره درسال ۲۰۱۸ منتشر گردیده است.

محققان کسپراسکای دریافتند، به تازگی در مورد هدف قراردادن شهروندان کشورهای خاورمیانه یک بدافزار نظارتی قدرتمند طراحی شده است که تقریبا تمام اطلاعات قابل دسترس شامل ضبط صدا، پیام متنی، تصاویر، ویدیوها، و داده‌های مکانی کاربران را مورد هدف قرار می‌دهد.

malware-1.jpg
این بدافزارعلاوه برکارکرد جاسوسی سنتی، دارای قابلیت‌های backdoor  شامل آپلود، بارگیری و حذف فایل ها، ثبت فایل‌های صوتی، ضبط صدا، و ایجاد تماس‌ها یا ارسال پیام‌ها به افراد خاص است.

بدافزار مورد استفاده در این کمپین‌ها در گزارش منتشر شده توسط Bitdefender در سال ۲۰۱۸ به نام "Triout" نامگذاری شده است که نوعی از چارچوب بدافزار است که مهاجمان از آن استفاده می‌کنند تا برنامه‌های قانونی را به نرم افزارهای جاسوسی تبدیل نمایند.

در گزارش جدیدی که منتشر شد، آزمایشگاه کسپرسکی نشان داد که مهاجمان به طور فعال از ابزار Baksmali برای جداسازی و سپس جمع‌آوری کد برنامه قانونی پس از تزریق کد مخرب خود در آن استفاده می‌کنند تکنیکی که معمولا به عنوان تزریق Smali شناخته می‌شود.

محققان گفتند: براساس آمار تشخیص ما، بروز اختلال اصلی، گسترش برنامه‌های تروجانیزا به طور مستقیم به قربانیان از طریق پیام های تلگرام و واتس‌آپ می‌باشد.

1_4.png
علاوه براین، محققان همچنین دریافتند که کد مورد استفاده در نرم افزارهای مخرب برای تجزیه دستورات از سرور فرمان و کنترل شبیه به نسخه‌های اصلاح شده از یک منبع باز XMPP ‎/ Jabber برای پلت فرم آندروید "مکالمات" است.

محققان کسپرسکی توضیح دادند: علاوه بر این، ما متوجه نشدیم که تزریق Smali در برنامه مکالمات اصلاح شده را مشاهده کردیم، اما ردیابی کامپایلرهای dx ‎/ dexmerge را مشاهده نمودیم، یعنی این بار، مهاجمان فقط کد اصلی را وارد کردند کد را به عنوان یک IDE آندروید (به عنوان مثال برای آندروید استودیو) و آن را با تغییرات خود تنظیم کردند.

با این حال، آن نسخه‌های اصلاح شده برنامه مکالمه حاوی هیچ کد مخرب نیستند اما به نظر می‌رسد که توسط همان گروهی از مهاجمان برای اهداف ناشناخته دیگری مورد استفاده قرار می‌گیرند.

محققان گفتند: این به ما این فرضیه را داد که ممکن است نسخه‌ای است که توسط گروهی که از طرف ViceLeaker برای ارتباطات داخلی یا دیگر اهداف نامعلوم استفاده شده است. همه تشخیص این برنامه پشت صحنه در ایران به صورت جغرافیایی قرار گرفته اند.

طبق نظر محققان، کمپین حمله ViceLeaker هنوز در حال انجام است و مهاجمان می توانند به طور بالقوه نسخه های جدیدی از برنامه های قانونی را از طریق برنامه های کاربردی ثالث، پیام های فوری، یا حمله کننده به صورت آنلاین کنترل کنند.

whatsapp-malware-nso-group.jpg
از آنجایی که چنین برنامه‌هایی به عنوان برنامه‌های قانونی یا محبوب شناخته می‌شوند، به کاربران اندرویدی به شدت توصیه می شود که همیشه از برنامه‌هایی که از منابع معتبر مانند فروشگاه گوگل استفاده می‌کنند، برنامه‌های خود را دانلود کنند تا از تبدیل شدن خود به قربانی این حمله جلوگیری کنند.

با این حال، شما نباید به همه  برنامه‌های موجود در فروشگاه گوگل اعتماد کنید. بنابراین، همیشه تنها به توسعه دهندگان تایید نشده اجازه دهید که از نصب برنامه‌های مخرب اجتناب کنند.

 

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط