اگر بر روی گوشی اندرویدیتان هریک از برنامه های "پروفایل چکر"، "اینستا پلاس" و"Cleaner Pro" را دارید، یک خبر بد برای شما داریم؛ پژوهشگران شرکت امنیتی Doctor Web متوجه شده اند برنامه های مزبور یک تروجان پیشرفته با توانایی به سرقت بردن اطلاعات حساس و اجرای دستورات مخرب هستند. این تروجان از طریق پروتکل ارتباطی مورد استفاده برنامه پیام رسان محبوب تلگرام کنترل می شود.
هنگامی که این تروجان اجرا می شود، در ظاهر قادر است سطح محبوبیت کاربر را در میان کاربران تلگرام بررسی کند. برای انجام این کار از کاربر تقاضا می شود شناسه تلگرام خود را وارد کند و پس از این کار، عددی را به عنوان تعداد بازدیدکنندگان از صفحه پروفایل وی نمایش می دهد اما در حقیقت هیچ بررسی در کار نیست و اطلاعات نمایش داده شده ساختگی است. توانایی نمایش تعداد بازدیدکنندگان از صفحه پروفایل تلگرام کاربر صرفاً با هدف ترغیب کاربر به نصب تروجان و جلوگیری از مشکوک شدن به آن است. در پاره ای موارد تروجان پس از اجرا میانبر خود را از صفحه منو مخفی می کند تا کاربر متوجه حضور آن نشود. شرکت امنیتی Doctor Web این تروجان را Android.Spy.377.origin نامگذاری کرده است.
در حقیقت Android.Spy.377.origin یک جاسوس افزار با توانایی اجرای دستورات تبهکاران سایبری است اما آنچه که این تروجان را از دیگر تروجان های اندرویدی متمایز می کند، سبک ارتباط سازندگان آن با دستگاه های آلوده است. این بدافزار از طریق همان پروتکل مورد استفاده پیام رسان آنلاین تلگرام کنترل می شود. دست کم این اولین نمونه شناسایی شده از سوی پژوهشگران Doctor Web است که از پروتکل ارتباطی تلگرام بهره می گیرد.
پس از حذف آیکون یا میانبر از صفحه منوی دستگاه، Android.Spy.377.origin لیست مخاطبین، پیام های کوتاه (SMS) ورودی و خروجی و اطلاعات مربوط به حساب گوگل کاربر را کپی می کند. سپس اطلاعات استخراج شده در مسیر مورد استفاده تروجان در قالب فایل متنی و تصویر ذخیره می شوند. همچنین این تروجان از طریق دوربین جلو گوشی به عکس گرفتن از چهره صاحب دستگاه می پردازد. همانطور که حدس می زنید، در نهایت تمامی اطلاعات و عکس های ذخیره شده به سرورهای تعریف شده از سوی تبهکاران ارسال می شوند. پس از مخابره اطلاعات، تروجان از طریق یک ربات تلگرامی به تبهکاران اطلاع می دهد که آن دستگاه با موفقیت آلوده شده و می توانند برای مقاصد خود از آن استفاده کنند.
تصویر زیر نمونه ای از اطلاعات استخراج شده توسط بدافزار Android.Spy.377.origin را نشان می دهد:
پس از سرقت موفقیت آمیز اطلاعات، Android.Spy.377.origin مجدداً به ربات تلگرامی خود متصل می شود و منتظر دریافت دستورات تبهکاران می ماند، این تروجان قادر به دریافت دستورات زیر است:
- call — برقراری تماس صوتی;
- sendmsg —ارسال پیام کوتاه به شماره مورد نظر تبهکاران;
- getapps —ارسال اطلاعات مربوط به برنامه های نصب شده برای تبهکاران;
- getfiles — ارسال لیست فایل های موجود بر روی دستگاه قربانی به تبهکاران;
- getloc — ارسال موقعیت مکانی دستگاه به تبهکاران;
- upload —آپلود فایل های تعیین شده از سوی تبهکاران برروی سرور اینترنتی;
- removeA —حدف فایل تعیین شده از سوی تبهکاران از روی دستگاه قربانی ;
- removeB — حذف بیش از یک فایل تعیین شده از سوی مجرین از روی دستگاه قربانی;
- lstmsg — ارسال گزارش کامل از پیام های کوتاه رد و بدل شده بر روی دستگاه قربانی به همراه تعداد، دفعات و اطلاعات گیرنده;
هنگامی که هر یک از دستورات فوق اجرا شود، بدافزار نتیجه آن را به ربات تلگرام مورد استفاده تبهکاران گزارش می کند.
افزون بر جمع آوری اطلاعات حساس و ارسال آن برای تبهکاران، این بدافزار به طور پیوسته تمامی پیام های کوتاه ورودی و خروجی و همچنین موقعیت دستگاه را ثبت می کند. با هر رخداد جدید از جمله دریافت یا ارسال پیام کوتاه جدید و تغییر موقعیت مکانی دستگاه، بدافزار از طریق ربات تلگرام تبهکاران را مطلع می کند.
Doctor Web به کاربران سیستم عامل اندروید از جمله کاربران ایرانی توصیه کرده از دریافت و نصب برنامه ها از منابع نامعتبر اجتناب کنند و برنامه های مورد نیاز خود را تنها از توسعه دهندگان و منابع معتبر چون فروشگاه گوگل پلی دریافت کنند.
هم اکنون برنامه های امنیتی مخصوص موبایل Doctor Web قادر به شناسایی و پاکسازی این بدافزار خطرناک هستند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت