رصد گوشی کاربران ایرانی توسط بد افزاری که گوشی های ایرانیان را رصد میکند، یکی از سوژه های داغ چند روز اخیر شبکه های اجتماعی است. و اما ماجرا چیست؟ با تکراتو همراه باشید.
به گزارش کارشناسان و پژوهشگران امنیت، یک گروه هکری اقدام به رصد گوشی کاربران ایرانی کرده است. این گروه پیش از این نیز ایرانیان را مورد هدف خود قرار داده بودند.
بیشتر بخوانید:
رصد گوشی کاربران ایرانی توسط بدافزار FurBall
گروهی از پژوهشگران در شرکت ESET توانستند یک نسخه جدید از بدافزار اندرویدی FurBall را شناسایی کنند. به گفته این پژوهشگران یک گروه هکری با نام APT-C-50 در کمپینی با عنوان Domestic Kitten (بچهگربهی اهلی) از این بدافزار برای رصد گوشیهای کاربران ایرانی استفاده کردهاند. این کمپین پیش از این نیز به دلیل رصد گوشی کاربران ایرانی مورد توجه قرار گرفته بود و به نظر میرسد نسخه جدید FurBall نیز مجددا بر روی همین هدف متمرکز باشد.
بهنوشتهی خبرگزاری WeLiveSecurity بدافزار FurBall از خردادماه سال 1400 در حال رصد گوشی کاربران ایرانی است. این بدافزار در قالب اپلیکیشن ترجمه از طریق نسخهی کپیشدهی یکی از وبسایتهای ایرانی توزیع شده است؛ در حالی دفتر مرکزی وبسایت اصلی این اپلیکیشن در خیابان انقلاب تهران قرار دارد و به کاربرانش «مقالات و مجلات و کتابهای ترجمهشده» ارائه میدهد.
پژوهشگران توانستهاند بدافزار FurBall در اپلیکیشن حاوی بدافزار را در وبسایت VirusTotal آپلود کنند و از این طریق اپلیکیشن را تجزیه و تحلیل کرده و ویروس آن را شناسایی کنند. WeLiveSecurity ادعا کرده است این بدافزار برای رصد گوشی کاربران طراحی شده اما طراحان آن به صورتی عمل کردهاند که شناسایی ویروس در آن مشکل شود.
FurBall از شما چه میخواهد؟
در ابتدا به نظر میرسد این بدافزار دسترسیهای سادهای مانند اجازه دسترسی به شماره تلفنهای شما را بخواهد. البته به نظر میرسد این اجازه دسترسی ساده صرفا با هدف شناسایینشدن بدافزار اتخاذ شده است. به نظر پژوهشگران ممکن است این ویژگی نسخهی جدید FurBall مرحلهی اول حملهای گستردهتر ازطریق پیامک باشد.
به گفته پژوهشگران، ممکن است توسعه دهنده بدافزار تعداد مجوزهای درخواستی از شما را افزایش دهد؛ در آن صورت میتواند دادههای دیگری نیز از گوشی شما استخراج کند. دادههایی مانند:
متن کلیپبورد، متن پیامک، محل (لوکیشن) دستگاه، فهرست تماسها، تماسهای صوتیِ ضبطشده، متن تمامی نوتیفیکیشنهای سایر اپلیکیشنها، حسابهای کاربری موجود در دستگاه، فهرست تمام فایلهای روی دستگاه، اپلیکیشنهای در حال اجرا، فهرست اپلیکیشنهای نصبشده و اطلاعات گوشی.
در ادامه گسترش این مجوزها اپلیکیشن حاوی بدافزار میتواند دستورهایی برای ثبت عکس و ضبط ویدئو دریافت کند و عکسها و فیلمها را به صورت مستقیم در سرور خود آپلود کند.
به گفته پژوهشگران کاربران ایرانی نسخهای را نصب کردهاند که میتواند به صورت مستقیم از سرور دستور بگیرد ولی در حال حاضر این بدافزار کارهای معمولیتری انجام میدهد. کارهایی مانند: استخراج فهرست مخاطبان، دسترسی به فایلهای موجود در حافظهی ذخیرهسازی خارجی، دسترسی به فهرست اپلیکیشنهای نصبشده، کسب اطلاعات ابتدایی دربارهی گوشی و فهرست حسابهای کاربری موجود در دستگاه.
بیشتر بخوانید: هک شبکه خبر و یک صدا و سیما ؛ جزئیاتی دقیق از هک صداوسیما! [+ ویدیو]
FurBall چگونه به رصد گوشی کاربران ایرانی میپردازد؟
این بدافزار بعد از اینکه روی گوشی کاربر نصب میشود هر ده ثانیه با سرور خود ارتباط میگیرد و منتظر دریافت دستور آن میشود. با توجه به گفته کارشناسان نسخه جدید FurBall به غیر از تغییراتی جزئی در کد نویسی تغییر دیگری نداشته است و با نسخه قبلی خود چندان تفاوتی ندارد.
اگر تاریخچه گروه هکری گروه هکری APT-C-50 را از نظر بگذرانیم میبینیم که این گروه تحت کمپین Domestic Kitten از سال 2016 تا کنون در تلاش هستند تا به رصد گوشی کاربران ایرانی بپردازند.
مؤسسهی Check Point در سال 2018 گزارشی مهم با محوریت کمپین Domestic Kitten منتشر کرد. یک سال بعد، مؤسسهی Trend Micro بدافزار مشابهی را شناسایی کرد که خاورمیانه را در قالب کمپینی به نام Bouncing Golf هدف قرار میداد.
در آن زمان، گفته شد کمپین یادشده ارتباطاتی با Domestic Kitten داشته است. مدتی بعد در همان سال، Qianxin مدعی شد کمپین Domestic Kitten بار دیگر در حال حمله به کاربران ایرانی است. در سالهای 2020 و 2021 نیز، گزارشهای جداگانهای دربارهی بدافزار FurBall منتشر شد.
FurBall بدافزاری است مختص به اندروید که به نظر میرسد از نخستین حملات کمپین Domestic Kitten مورد استفاده قرار گرفته و براساس ابزار تجاری KidLogger ساخته شده است. گفته میشود توسعهدهندگان FurBall از نسخهی متنباز KidLogger که هفت سال پیش دردسترس قرار داشت الهام گرفتهاند.
اما در خصوص چگونگی نفوذ FurBall به گوشی کاربران باید توضیح داد که این بدافزار به وسیله نسخهی کپیشدهی یکی از وبسایتهای ایرانی توزیع شده است.
بهطور دقیقتر، گفته میشود که نسخهی اندرویدی اپلیکیشن پس از کلیک روی عبارت «دانلود اپلیکیشن» روی گوشی هوشمند کاربران دانلود شده است. روی گزینهی دانلود لوگو گوگل پلی دیده میشود؛ اما پس از کلیک روی آن از انتقال به گوگل پلی خبری نیست.
بیشتر بخوانید
- حملات هکری گسترده به سایت های ایرانی ؛ جنگ سایبری تمام عیار علیه سایت های دولتی ایران!
- هشدار: نسخه جعلی مرورگر تور یک بدافزار اطلاعاتی است!
- فیلترینگ کلاب هاوس در اینترنت ثابت ؛ موج جدیدی از فیلترینگ در راه است؟
- سرویس معاملات ارز دیجیتال Oanda راهاندازی شد!
- نماینده مجلس: فیلتر شدن دائمی اینستاگرام و واتساپ منجر به افزایش نارضایتیها میشود
- ضرر فیلترینگ برای اقتصاد کشور فراتر از کسبوکارهای اینستاگرامی است!
- معاون وزیر صمت معتقد است فیلتر اینستاگرام تاثیری در درآمد مردم ندارد
نظر شما در مورد رصد گوشی کاربران ایرانی توسط بد افزارFurBall چیست؟ لطفا نظرات خود را در قسمت کامنت با تکراتو در میان بگذارید.
بنظرمن هیچ بدافزار خارجی توی ایران نیست چونکه کاربران ایرانی به اینترنت بین المللی متصل نیستند
نکته قابل توجه اینکه امروز گوگل پلی روبیکا رو بدافزار تشخیص داد و از روی گوشی من حذف کرد.
میخان رصد کنن که چی بشه؟!؟؟ ما ک جز چارتا عکس هیچی نداریم ک به درد اونا بخوره… غیر عاقلانس مگ اینک این گروه هکری چقد بیکار باش، با پول ایرانم چیزی گیرشون نمیاد ک اطلاعات حساب بانکیامونم دستشون بیفته…
ما الان بعنوان ایرانیان ، بخصوص بعد از توزیع کارت ملی هوشمند از زمین و هوا و دریا و زیر زمین ، شبانه و روزانه تحت کنترل دولت معظم هستیم .مثل پرندگانی که روی آنها آزمایش میشه از انواع دوربینها و گوشی خودمان جهت اینکه بدانند کجا رفته ایم و چکار داریم می کنیم استفاده میشه.اگر به اینها جی پی ای و لوکیشن و پهبادهای و عکسبرداریها را هم اضافه کنید حتی میشه گفت که دولت میدونه داخل کلیه، سنگ کلیه داریم یا نداریم .پس بردن اطلاعات درون گوشی برامون ارزشی نداره .بزار فکر کنند ما احمق هستیم ،و نمی دانیم داریم ویروس دانلود می کنیم