;
coinex

مراقب باشید: رصد گوشی کاربران ایرانی ؛ بدافزاری که گوشی های ایرانیان را رصد می‌کند!

رصد گوشی کاربران ایرانی توسط بد افزاری که گوشی های ایرانیان را رصد می‌کند، یکی از سوژه های داغ چند روز اخیر شبکه های اجتماعی است. و اما ماجرا چیست؟ با تکراتو همراه باشید.

به گزارش کارشناسان و پژوهشگران امنیت، یک گروه هکری اقدام به رصد گوشی کاربران ایرانی کرده است. این گروه پیش از این نیز ایرانیان را مورد هدف خود قرار داده بودند.

بیشتر بخوانید:

رصد گوشی کاربران ایرانی توسط بدافزار FurBall

گروهی از پژوهشگران در شرکت ESET توانستند یک نسخه جدید از بدافزار اندرویدی FurBall را شناسایی کنند. به گفته این پژوهشگران یک گروه هکری با نام APT-C-50 در کمپینی با عنوان Domestic Kitten (بچه‌گربه‌ی اهلی) از این بدافزار برای رصد گوشی‌های کاربران ایرانی استفاده کرده‌اند. این کمپین پیش از این نیز به دلیل رصد گوشی کاربران ایرانی مورد توجه قرار گرفته بود و به نظر می‌رسد نسخه جدید FurBall نیز مجددا بر روی همین هدف متمرکز باشد.

به‌نوشته‌ی خبرگزاری WeLiveSecurity بدافزار FurBall از خردادماه سال 1400 در حال رصد گوشی کاربران ایرانی است. این بدافزار در قالب اپلیکیشن ترجمه از طریق نسخه‌ی کپی‌شده‌ی یکی از وب‌سایت‌های ایرانی توزیع شده است؛ در حالی دفتر مرکزی وبسایت اصلی این اپلیکیشن در خیابان انقلاب تهران قرار دارد و به کاربرانش «مقالات و مجلات و کتاب‌های ترجمه‌شده» ارائه می‌دهد.

کشف بدافزاری که به رصد گوشی کاربران ایرانی مشغول است!

پژوهشگران توانسته‌اند بدافزار FurBall در اپلیکیشن حاوی بدافزار را در وب‌سایت VirusTotal آپلود کنند و از این طریق اپلیکیشن را تجزیه و تحلیل کرده و ویروس آن را شناسایی کنند. WeLiveSecurity ادعا کرده است این بدافزار برای رصد گوشی کاربران طراحی شده اما طراحان آن به صورتی عمل کرده‌اند که شناسایی ویروس در آن مشکل شود.

FurBall از شما چه می‌خواهد؟

در ابتدا به نظر می‌رسد این بدافزار دسترسی‌های ساده‌ای مانند اجازه دسترسی به شماره تلفن‌های شما را بخواهد. البته به نظر می‌رسد این اجازه دسترسی ساده صرفا با هدف شناسایی‌نشدن بدافزار اتخاذ شده است. به نظر پژوهشگران ممکن است این ویژگی نسخه‌ی جدید FurBall مرحله‌ی اول حمله‌ای گسترده‌تر ازطریق پیامک باشد.

FurBall از شما چه می‌خواهد؟

به گفته پژوهشگران، ممکن است توسعه دهنده بدافزار تعداد مجوزهای درخواستی از شما را افزایش دهد؛ در آن صورت می‌تواند داده‌های دیگری نیز از گوشی شما استخراج کند. داده‌هایی مانند:

متن کلیپ‌بورد، متن پیامک، محل (لوکیشن) دستگاه، فهرست تماس‌ها، تماس‌های صوتیِ ضبط‌شده، متن تمامی نوتیفیکیشن‌های سایر اپلیکیشن‌ها، حساب‌های کاربری موجود در دستگاه، فهرست تمام فایل‌های روی دستگاه، اپلیکیشن‌های در حال اجرا، فهرست اپلیکیشن‌های نصب‌شده و اطلاعات گوشی.

در ادامه گسترش این مجوزها اپلیکیشن حاوی بدافزار می‌تواند دستورهایی برای ثبت عکس و ضبط ویدئو دریافت کند و عکس‌ها و فیلم‌ها را به صورت مستقیم در سرور خود آپلود کند.

به گفته پژوهشگران کاربران ایرانی نسخه‌ای را نصب کرده‌اند که می‌تواند به صورت مستقیم از سرور دستور بگیرد ولی در حال حاضر این بدافزار کارهای معمولی‌تری انجام می‌دهد. کارهایی مانند: استخراج فهرست مخاطبان، دسترسی به فایل‌های موجود در حافظه‌ی ذخیره‌سازی خارجی، دسترسی به فهرست اپلیکیشن‌های نصب‌شده، کسب اطلاعات ابتدایی درباره‌ی گوشی و فهرست حساب‌های کاربری موجود در دستگاه.

بیشتر بخوانید: هک شبکه خبر و یک صدا و سیما ؛ جزئیاتی دقیق از هک صداوسیما! [+ ویدیو]

FurBall چگونه به رصد گوشی کاربران ایرانی می‌پردازد؟

این بدافزار بعد از اینکه روی گوشی کاربر نصب می‌شود هر ده ثانیه با سرور خود ارتباط می‌گیرد و منتظر دریافت دستور آن می‌شود. با توجه به گفته کارشناسان نسخه جدید FurBall به غیر از تغییراتی جزئی در کد نویسی تغییر دیگری نداشته است و با نسخه قبلی خود چندان تفاوتی ندارد.

FurBall چگونه به رصد گوشی کاربران ایرانی می‌پردازد؟

اگر تاریخچه گروه هکری گروه هکری APT-C-50 را از نظر بگذرانیم می‌بینیم که این گروه تحت کمپین Domestic Kitten از سال 2016 تا کنون در تلاش هستند تا به رصد گوشی کاربران ایرانی بپردازند.

مؤسسه‌ی Check Point در سال 2018 گزارشی مهم با محوریت کمپین Domestic Kitten منتشر کرد. یک سال بعد، مؤسسه‌ی Trend Micro بدافزار مشابهی را شناسایی کرد که خاورمیانه را در قالب کمپینی به نام Bouncing Golf هدف قرار می‌داد.

در آن زمان، گفته شد کمپین یادشده ارتباطاتی با Domestic Kitten داشته است. مدتی بعد در همان سال، Qianxin مدعی شد کمپین Domestic Kitten بار دیگر در حال حمله به کاربران ایرانی است. در سال‌های 2020 و 2021 نیز، گزارش‌های جداگانه‌ای درباره‌ی بدافزار FurBall منتشر شد.

FurBall بدافزاری است مختص به اندروید که به نظر می‌رسد از نخستین حملات کمپین Domestic Kitten مورد استفاده قرار گرفته و براساس ابزار تجاری KidLogger ساخته شده است. گفته می‌شود توسعه‌دهندگان FurBall از نسخه‌ی متن‌باز KidLogger که هفت سال پیش دردسترس قرار داشت الهام گرفته‌اند.

اما در خصوص چگونگی نفوذ FurBall به گوشی کاربران باید توضیح داد که این بدافزار به وسیله نسخه‌ی کپی‌شده‌ی یکی از وب‌سایت‌های ایرانی توزیع شده است.

به‌طور دقیق‌تر، گفته می‌شود که نسخه‌ی اندرویدی اپلیکیشن پس از کلیک روی عبارت «دانلود اپلیکیشن» روی گوشی هوشمند کاربران دانلود شده است. روی گزینه‌ی دانلود لوگو گوگل پلی دیده می‌شود؛ اما پس از کلیک روی آن از انتقال به گوگل پلی خبری نیست.

بیشتر بخوانید

نظر شما در مورد رصد گوشی کاربران ایرانی توسط بد افزارFurBall چیست؟ لطفا نظرات خود را در قسمت کامنت با تکراتو در میان بگذارید.

ارسال برای دوستان در: واتساپ | تلگرام |






ارسال نظر (3 نظر)

    بنظرمن هیچ بدافزار خارجی توی ایران نیست چونکه کاربران ایرانی به اینترنت بین المللی متصل نیستند
    نکته قابل توجه اینکه امروز گوگل پلی روبیکا رو بدافزار تشخیص داد و از روی گوشی من حذف کرد.

    پاسخ

    میخان رصد کنن که چی بشه؟!؟؟ ما ک جز چارتا عکس هیچی نداریم ک به درد اونا بخوره… غیر عاقلانس مگ اینک این گروه هکری چقد بیکار باش، با پول ایرانم چیزی گیرشون نمیاد ک اطلاعات حساب بانکیامونم دستشون بیفته…

    پاسخ

    ما الان بعنوان ایرانیان ، بخصوص بعد از توزیع کارت ملی هوشمند از زمین و هوا و دریا و زیر زمین ، شبانه و روزانه تحت کنترل دولت معظم هستیم .مثل پرندگانی که روی آنها آزمایش میشه از انواع دوربینها و گوشی خودمان جهت اینکه بدانند کجا رفته ایم و چکار داریم می کنیم استفاده میشه.اگر به اینها جی پی ای و لوکیشن و پهبادهای و عکس‌برداری‌ها را هم اضافه کنید حتی میشه گفت که دولت می‌دونه داخل کلیه، سنگ کلیه داریم یا نداریم .پس بردن اطلاعات درون گوشی برامون ارزشی نداره .بزار فکر کنند ما احمق هستیم ،و نمی دانیم داریم ویروس دانلود می کنیم

    پاسخ