به گزارش کارشناسان و پژوهشگران امنیت، یک گروه هکری اقدام به رصد گوشی کاربران ایرانی کرده است. این گروه پیش از این نیز ایرانیان را مورد هدف خود قرار داده بودند.
گروهی از پژوهشگران در شرکت ESET توانستند یک نسخه جدید از بدافزار اندرویدی FurBall را شناسایی کنند. به گفته این پژوهشگران یک گروه هکری با نام APT-C-50 در کمپینی با عنوان Domestic Kitten (بچهگربهی اهلی) از این بدافزار برای رصد گوشیهای کاربران ایرانی استفاده کردهاند. این کمپین پیش از این نیز به دلیل رصد گوشی کاربران ایرانی مورد توجه قرار گرفته بود و به نظر میرسد نسخه جدید FurBall نیز مجددا بر روی همین هدف متمرکز باشد.
بیشتر بخوانید: حملات هکری گسترده به سایت های ایرانی ؛ جنگ سایبری تمام عیار علیه سایت های دولتی ایران!
رصد گوشی کاربران ایرانی توسط بدافزار FurBall
بهنوشتهی خبرگزاری WeLiveSecurity بدافزار FurBall از خردادماه سال 1400 در حال رصد گوشی کاربران ایرانی است. این بدافزار در قالب اپلیکیشن ترجمه از طریق نسخهی کپیشدهی یکی از وبسایتهای ایرانی توزیع شده است؛ در حالی دفتر مرکزی وبسایت اصلی این اپلیکیشن در خیابان انقلاب تهران قرار دارد و به کاربرانش «مقالات و مجلات و کتابهای ترجمهشده» ارائه میدهد.
پژوهشگران توانستهاند بدافزار FurBall در اپلیکیشن حاوی بدافزار را در وبسایت VirusTotal آپلود کنند و از این طریق اپلیکیشن را تجزیه و تحلیل کرده و ویروس آن را شناسایی کنند. WeLiveSecurity ادعا کرده است این بدافزار برای رصد گوشی کاربران طراحی شده اما طراحان آن به صورتی عمل کردهاند که شناسایی ویروس در آن مشکل شود.
FurBall از شما چه میخواهد؟
در ابتدا به نظر میرسد این بدافزار دسترسیهای سادهای مانند اجازه دسترسی به شماره تلفنهای شما را بخواهد. البته به نظر میرسد این اجازه دسترسی ساده صرفا با هدف شناسایینشدن بدافزار اتخاذ شده است. به نظر پژوهشگران ممکن است این ویژگی نسخهی جدید FurBall مرحلهی اول حملهای گستردهتر ازطریق پیامک باشد.
به گفته پژوهشگران، ممکن است توسعه دهنده بدافزار تعداد مجوزهای درخواستی از شما را افزایش دهد؛ در آن صورت میتواند دادههای دیگری نیز از گوشی شما استخراج کند. دادههایی مانند:
متن کلیپبورد، متن پیامک، محل (لوکیشن) دستگاه، فهرست تماسها، تماسهای صوتیِ ضبطشده، متن تمامی نوتیفیکیشنهای سایر اپلیکیشنها، حسابهای کاربری موجود در دستگاه، فهرست تمام فایلهای روی دستگاه، اپلیکیشنهای در حال اجرا، فهرست اپلیکیشنهای نصبشده و اطلاعات گوشی.
در ادامه گسترش این مجوزها اپلیکیشن حاوی بدافزار میتواند دستورهایی برای ثبت عکس و ضبط ویدئو دریافت کند و عکسها و فیلمها را به صورت مستقیم در سرور خود آپلود کند.
به گفته پژوهشگران کاربران ایرانی نسخهای را نصب کردهاند که میتواند به صورت مستقیم از سرور دستور بگیرد ولی در حال حاضر این بدافزار کارهای معمولیتری انجام میدهد. کارهایی مانند: استخراج فهرست مخاطبان، دسترسی به فایلهای موجود در حافظهی ذخیرهسازی خارجی، دسترسی به فهرست اپلیکیشنهای نصبشده، کسب اطلاعات ابتدایی دربارهی گوشی و فهرست حسابهای کاربری موجود در دستگاه.
بیشتر بخوانید: هک شبکه خبر و یک صدا و سیما ؛ جزئیاتی دقیق از هک صداوسیما! [+ ویدیو]
FurBall چگونه به رصد گوشی کاربران ایرانی میپردازد؟
این بدافزار بعد از اینکه روی گوشی کاربر نصب میشود هر ده ثانیه با سرور خود ارتباط میگیرد و منتظر دریافت دستور آن میشود. با توجه به گفته کارشناسان نسخه جدید FurBall به غیر از تغییراتی جزئی در کد نویسی تغییر دیگری نداشته است و با نسخه قبلی خود چندان تفاوتی ندارد.
اگر تاریخچه گروه هکری گروه هکری APT-C-50 را از نظر بگذرانیم میبینیم که این گروه تحت کمپین Domestic Kitten از سال 2016 تا کنون در تلاش هستند تا به رصد گوشی کاربران ایرانی بپردازند.
مؤسسهی Check Point در سال 2018 گزارشی مهم با محوریت کمپین Domestic Kitten منتشر کرد. یک سال بعد، مؤسسهی Trend Micro بدافزار مشابهی را شناسایی کرد که خاورمیانه را در قالب کمپینی به نام Bouncing Golf هدف قرار میداد.
در آن زمان، گفته شد کمپین یادشده ارتباطاتی با Domestic Kitten داشته است. مدتی بعد در همان سال، Qianxin مدعی شد کمپین Domestic Kitten بار دیگر در حال حمله به کاربران ایرانی است. در سالهای 2020 و 2021 نیز، گزارشهای جداگانهای دربارهی بدافزار FurBall منتشر شد.
FurBall بدافزاری است مختص به اندروید که به نظر میرسد از نخستین حملات کمپین Domestic Kitten مورد استفاده قرار گرفته و براساس ابزار تجاری KidLogger ساخته شده است. گفته میشود توسعهدهندگان FurBall از نسخهی متنباز KidLogger که هفت سال پیش دردسترس قرار داشت الهام گرفتهاند.
اما در خصوص چگونگی نفوذ FurBall به گوشی کاربران باید توضیح داد که این بدافزار به وسیله نسخهی کپیشدهی یکی از وبسایتهای ایرانی توزیع شده است.
بهطور دقیقتر، گفته میشود که نسخهی اندرویدی اپلیکیشن پس از کلیک روی عبارت «دانلود اپلیکیشن» روی گوشی هوشمند کاربران دانلود شده است. روی گزینهی دانلود لوگو گوگل پلی دیده میشود؛ اما پس از کلیک روی آن از انتقال به گوگل پلی خبری نیست.
بیشتر بخوانید
نظر شما در مورد رصد گوشی کاربران ایرانی توسط بد افزارFurBall چیست؟ لطفا نظرات خود را در قسمت کامنت با مجله خبری آی تی و دیجیتال در میان بگذارید.
نظرات کاربران