انتشار جاسوس‌افزار AhMyth از طریق گوگل‌پلی

محققان یک جاسوس‌افزارِ اُپن سورس به نام AhMyth کشف نمودند که در گوگل‌پلی با عنوان RB Music شناخته می‌شود و با نفوذ به دستگاه اندرویدی کاربران، اطلاعات حساس آن‌ها را به سرقت می‌برد.

این برنامه که با نام Radio Balouch هم شناخته می‌شود، یک اپلیکیشن مخرب رادیویی است که در گوگل‌پلی عرضه شده و  با استفاده از ویژگی‌ها و عملکردهای مخرب جاسوس‌افزار AhMyth، کاربران زیادی را آلوده نموده است.
AhMyth یک ابزار جاسوسی اُپن سورس است، که به کمک برنامه‌های اندرویدی بر روی دستگاه‌های هدف مستقر شده و پس از آلوده نمودن دستگاه، یک درب پشتی برای جاسوسی از فعالیت‌های قربانی و سرقت داده‌های وی ایجاد می‌نماید
مهاجمان از یک برنامه دسکتاپ مبتنی بر فریموررک Electron، به عنوان سرور کنترل فرمان (C&C) برای ارسال دستورات و جمع‌آوری اطلاعات استفاده می‌کنند.
از سال ۲۰۱۷ تاکنون چندین برنامه از نرم‌افزار جاسوسی AhMyth استفاده کرده‌اند اما Radio Balouch اولین برنامه‌ای است که به طور رسمی در فروشگاهGoogle play  منتشر شده است.
لوکاس استفانکو، یکی از محققان شرکت ESET اعلام کرد که این بدافزار که توسط ESET به عنوان Android/Spy.Agent.AOX شناسایی می‌شود، علاوه بر Google Play در فروشگاه‌های اپلیکیشن دیگر هم در دسترس می‌باشد. همچنین از طریق اینستاگرام و یوتیوب در یک وب‌سایت اختصاصی نیز ترویج یافته است.

فرآیند آلوده شدن دستگاه توسط این جاسوس‌افزار
مهاجم، عملکرد رادیو را با عملکرد جاسوس‌افزار AhMyth ادغام کرده و این‌گونه به نظر می‌رسد که برنامه Radio Balouch یک برنامه معمولیِ پخش موزیک است. اما در پس زمینه، AhMyth عملکرد مخرب خود را آغاز نموده و به جمع‌آوری اطلاعات از دستگاه‌های قربانیان، سرقت شماره‌ی مخاطبین، سرقت فایل‌های ذخیره شده در دستگاه و ارسال پیام‌ می‌پردازد.
به محض نصب و راه‌اندازی برنامه، از کاربران خواسته می‌شود که زبان مورد نظر خود را انتخاب نمایند. پس از آن، مانند هر برنامه‌ی پخش موزیک دیگری، مجوز دسترسی به فایل‌های دستگاه درخواست می‌شود که در صورت نپذیرفتن آن، برنامه کار نخواهد کرد. در مرحله بعدی نیز، مجوز دسترسی به لیست مخاطبین از کاربر خواسته می‌شود.
پس از استقرار برنامه، سرور کنترل و فرمان (C&C)، برای انتقال اطلاعاتِ ورودِ مسروقه، لیست مخاطبین قربانیان و سایر جزئیات، یک اتصال رمزگذاری نشده‌ی HTTP برقرار می‌کند.

به گفته محققان ESET: "ظهور مکرر بدافزار Radio Balouch در Google Play زنگ خطری برای تیم امنیتی گوگل و کاربران اندروید است. با این وجود احتمال بیشتری وجود دارد که یک clone جدید از Radio Balouch یا هر مشتق دیگری از AhMyth در Google Play ظاهر شود."

منبع خبر:
https://gbhackers.com/open-source-spyware-ahmyth/‎