بدافزار اندرویدی توسط تلگرام از کاربران ایرانی جاسوسی می کند!

کارشناسان امنیت وب سایت دکتروب به تازگی یک تروجان اندرویدی را شناسایی کرده اند که توسط گروه تبهکاران سایبری از طریق پروتکل های تلگرام کنترل می شود. این برنامه مخرب، اطلاعات مهم و محرمانه کاربران را به سرقت می برد و تمامی فرامین گروه تبهکاران سایبری را در گوشی قربانی اجرا می کند.

نام این تروجان،  Android.Spy.‎377.origin است که یک RAT یا ابزار کنترل مدیریت دستگاه از راه دور محسوب می شود و در پوشش اپلیکیشن های راه انداز گوشی شروع به کار می کند. بنا بر تحقیقات این تیم امنیتی، هدف این تروجان، کاربران ایرانی است؛ بر طبق گزارشات این تروجان بر روی اپلیکیشن های اینستاپلاس، پروفایل چکر و cleaner pro وجود دارد و کاربرانی که این اپلیکیشن ها را نصب کنند، اطلاعات شخصی خود را در معرض خطر می بینند.

وقتی این اپلیکیشن را نصب می کنید، تروجان به کاربر این پیشنهاد را می دهد که میزان محبوبیت کاربر در بین دیگر کاربران تلگرام را بسنجد و برای این کار، اطلاعات شخصی کاربر را طلب می کند و پس از اینکه قربانی این اطلاعات را وارد می کند، تروجان یک عدد خیالی به عنوان میزان محبوبیت کاربر در بین دیگر پروفایل های تلگرامی بر روی صفحه نمایش می دهد. البته این رقم کاملاً غیرواقعی است و برنامه در پشت‌صحنه هیچ کاری را در خصوص آن انجام نمی‌دهد، تنها یک عدد تصادفی تولید کرده و آن را به‌عنوان تعداد بازدیدکنندگان به کاربر نشان می‌دهد. هدف این کار هم حقیقی جلوه دادن برنامه است تا کاربران به آن شک نکنند. گاهی اوقات پس از نصب، Android.Spy.‎377.origin  میانبر خود را از صفحه اصلی دستگاه پاک‌کرده و پنجره خود را می‌بندد تا وانمود کند که دیگر در سیستم وجود ندارد.

 Android.Spy.‎377.origin در واقع یک برنامه جاسوس افزار کلاسیک است که قابلیت اجرای تمامی دستورات تیم مدیریتی خود بر روی دستگاه قربانی را دارد. نکته ای که این تروجان را از دیگر تروجان ها متمایز می کند این است که از طریق پروتکل انتقال پیام تلگرام در بین دیگر کاربران توزیع می شود و این اولین موردی است که تیم کارشناسی دکتر وب با آن برخورد کرده است.

 Andriod.Spy.‎377.origin بعد از حذف شورتکات خود، لیست مخاطبین کاربر، پیام کوتاه‌های ارسالی و دریافتی و اطلاعات حساب گوگل کاربر دستگاه را کپی می‌کند. سپس این اطلاعات را در قالب تکست در فولدر کاری خود در گوشی ذخیره می‌کند.

پس از حذف شورتکات اپلیکیشن، این تروجان شروع به کپی کردن لیست مخاطبین، پیام های کوتاه فرستاده شده و دریافتی، اطلاعات گوگل و اطلاعات شخصی مالک گوشی می کند و تمامی این اطلاعات را در یک فایل متنی در دایرکتوری ذخیره می کند و در نهایت با استفاده از دوربین جلوی گوشی،یک عکس از صورت کاربر می گیرد و سپس همه این موارد را با دستور تیم تبهکاران سایبری برای سرور آنها ارسال می کند و ربات تلگرامی آنها پس از دریافت این اطلاعات، پیام “این دستگاه به طور موفقیت آمیزی آلوده شد” را صادر می کند.
پس از انجام عملیات فوق، تروجان منتظر دستور بعدی می ماند که می تواند یکی از دستورات زیر باشد:

•  :Callیک تماس تلفنی برقرار کن
• :Sendmsg یک پیام کوتاه ارسال کن
•  :Getappsاطلاعاتی در مورد اپلیکیشن های نصب روی گوشی را برای سرور ارسال کن
•  :Getfilesاطلاعاتی در مورد تمامی فایل های موجود در گوشی برای سرور ارسال کن
•  :Getlocموقعیت مکانی گوشی را برای سرور ارسال کن
•  :Uploadفایل های دستوری واقع در گوشی را برای سرور ارسال کن
•  :removeAفایل مذکور را از روی گوشی پاک کن
•  :removeBگروهی از فایل ها را پاک کن
•  :Lstmsgاطلاعات تمامی sms های ورودی و خروجی شامل نام فرستنده، نام گیرنده، شماره موبایل و محتویات پیام را برای سرور ارسال کن

وقتی هر کدام از این دستورات اجرا شوند، قسمتی از اطلاعات برای سرور ارسال می شدند. نکته جالب این تروجان این است که با دریافت هر sms جدید برای صاحب گوشی، یک پیام برای سرور و گروه تبهکاران سایبری ارسال می شد.

محققان امنیتی Doctor Web به کاربرانی که نرم‌افزارهای به‌ظاهر بی‌خطر را بر دستگاه‌هایشان نصب می‌کنند هشدار می‌دهد. کاربران جهت محافظت از دستگاه‌هایشان در مقابل تروجان‌های اندرویدی، باید تنها اپلیکیشن‌هایی را که توسط توسعه‌دهندگان قابل‌اطمینان تولیدشده و از منابع شناخته‌شده نظیر گوگل پلی دانلود و نصب کنند.

تمام نسخه‌های Android.Spy.‎377.origin توسط محصولات آنتی‌ویروس Doctor Web شناسایی می‌شوند؛ بنابراین کاربرانی که از این آنتی‌ویروس استفاده می‌کنند، در معرض خطر نخواهند بود.

Google Play Protect  به کمک شما می آید

Google Play Protect یک پکیج امنیتی برای دستگاه های اندرویدی است که شامل اسکنر برنامه ها، محفاظت کننده از مرورگر و ابزار ه ضد سرفت میشود.

گوگل همواره امنیت نرم افزار را در هنگام بارگزاری بر روی Google Play بررسی میکند اما این امر نمیتوتند به تنهایی امنیت دائمی نرم افزار ها را تضمین کند.

بنابراین گوگل همواره تلاش کرده تا با استفاده از اسکن های روزانه و الگوریتم های یادگیری ماشین یک قدم جلوتر از هرنوع تهدید احتمالی باشد .

 ویژگی اسکن برنامه ها به صورت پیش فرض در تمامی دستگاه هایی که دارای فروشگاه Google Play  هستند ارائه میشود و نیازی به نصب و فعالسازی آن به صورت جداگانه و ورود اطلاعات به صورت دستی ندارد.

این سرویس یک سرویس همواره فعال است که گفته میشود روزانه ۵۰ بیلیون برنامه را در روز از میان بیلیون ها نرم افزار نصب شده بر روی دستگاه اندرویدی اسکن می کند.

Google Play Protect  تمامی برنامه هایی که دانلود میکنید را اسکن میکند . هم چنین به صورت دوره ای به اسکن  دستگاه شما میپردازد و اگر با برنامه مخربی مواجه شود از اجرای آن جلوگیری میکند . در قدم بعدی Google Play Protect  به شما هشدار میدهد که نرم افزاری مخرب شناخته شده است و شما میتوانید در اعلان ها آن را پاک یا غیرفعال کنید. در دیگر مواقع به صورت خودکار نرم افزار مخرب شناسایی شده به صورت خودکار حذف میگردد و برای شما اعلان حذف آن نمایش داده خواهد شد.

در کنار امکان بالا گوگل امکان مکان یابی دستگاه را با استفاده از Find My Device و گشت گذار امن در مرورگر خود را در قالب این سرویس فراهم می کند.

پس اگر کاربر اندرویدی هستید ما به شما پیشنهاد میکنیم که حتما از این امکان امنیتی بهره بگیرید.