گوگل یک برنامه جاسوسی خطرناک (Lipizzan) را بر روی Play Store اندروید کشف کرد.

Lipizzan

محققان امنیتی در گوگل یک خانواده جدید از نرم‌افزارهای جاسوسی تحت اندروید را کشف کردند[۱] که می‌توانند اطلاعات بسیاری را از کاربرانشان بدزدند که شامل پیامک‌ها، پست‌های الکترونیک، تماس‌های صوتی، عکس‌ها، داده‌های مکان‌یابی و دیگر فایل‌ها می‌شود.

این نرم‌افزار جاسوسی تحت اندروید که Lipizzan نامیده شده است به نظر می‌رسد که توسط شرکت Equus Technologies طراحی شده است که یک استارتاپ اسرائیلی است که گوگل آن را «فروشنده سلاح‌های سایبری» در گزارشی که در روز چهارشنبه (۲۶ جولای ۲۰۱۷) منتشر کرده، خوانده است.

با کمک سیستم حفاظتی گوگل[۲]، تیم امنیتی اندروید نرم‌افزار جاسوسی Lipizzan را بر روی حداقل ۲۰ برنامه در Play Store ردیابی کردند که مجموعاً ۱۰۰ گوشی همراه هوشمند را آلوده کرده‌اند.

گوگل به‌سرعت تمام برنامه‌های Lipizzan را بلاک کرده و تمامی آن‌ها و سازندگانشان را از اکوسیستم اندروید حذف کرده است و سیستم حفاظت گوگل به‌تمامی قربانیان هشدار داده است.

سیستم حفاظت گوگل بخشی از برنامه Play Store گوگل است و با استفاده از فراگیری ماشین^(۱) و تجزیه‌وتحلیل برنامه‌ها می‌تواند برنامه‌های مخرب و خطرناک را از بین ببرد.

Lipizzan: نرم‌افزارهای جاسوسی چندمرحله‌ای پیشرفته

بر طبق گزارش گوگل، Lipizzan نوعی ابزار چندمرحله‌ای پیشرفته است که می‌تواند دسترسی کامل به دستگاه مورد هدف را در دو مرحله به دست آورد.

در مرحله اول، مهاجمان Lipizzan را از طریق جعل هویت برنامه‌های به نظر قانونی و بی‌ضرر مانند Backup و Cleaner و از طریق فروشگاه‌های برنامه‌های اندرویدی توزیع می‌کنند که شامل فروشگاه‌های رسمی ازجمله گوگل نیز می‌شود.

هنگامی‌که برنامه موردنظر بر روی دستگاه قربانی نصب شد، Lipizzan به‌طور خودکار مرحله دوم را دانلود می‌کند که یک تأیید مجوز است تا اطمینان حاصل شود دستگاهِ آلوده قادر به شناسایی مرحله دوم نیست.

بعد از کامل شدن فرآیند تأیید، مرحله دوم این بدافزار دستگاه فرد قربانی را توسط بهره‌بردارهای معروف تحت اندروید، root می‌کند. بعد از root شدن دستگاه موردنظر، برنامه جاسوسی شروع به پایش داده‌های دستگاه می‌کند و این داده‌ها را به سرور Command and Control ارسال می‌کند که توسط مهاجمان کنترل می‌شود.

Lipizzan همچنین داده‌های مربوط به دیگر برنامه‌های معروف را نیز جمع‌آوری می‌کند.

این برنامه جاسوسی این قابلیت را دارد که پست‌های الکترونیک، پیامک‌ها، اسکرین‌شات‌ها، تصاویر، تماس‌های صوتی، لیست مخاطبان، داده‌های خاص مربوط به برنامه‌ها، محل کاربر و داده‌های دستگاه را مونیتور کرده و بدزدد.

همچنین Lipizzan می‌تواند داده‌های مربوط به برنامه‌های خاص را با تضعیف سیستم رمزنگاری آن‌ها، جمع‌آوری کند. این برنامه‌ها شامل WhatsApp، Snapchat، وایبر، تلگرام، فیس‌بوک، LinkedIn ،GMail، اسکایپ، Hangouts و Kakao Talk می‌شوند.

اطلاعات اندکی از شرکت Equus Technologies بر روی اینترنت وجود دارد که معتقدند عامل به وجود آوردن Lipizzan است. در توضیحات مربوط به‌حساب این شرکت در LinkedIn این‌گونه آمده است[۳]:

“Equus Technologies یک شرکت خصوصی است که متخصص در توسعه راهکارهای خلاقانه برای سازمان‌های اجرای قانون، سازمان‌های اطلاعاتی و سازمان‌های امنیت ملی است.”

در اوایل سال جاری، گوگل یک برنامه جاسوسی خطرناک و تحت اندروید دیگر را به نام Chrysaor کشف و بلاک کرده بود[۴] که ادعا می‌شد توسط گروه NSO تولید شده است و در حملات هدفمند علیه فعالان و روزنامه‌نگاران در اسرائیل، گرجستان، ترکیه، مکزیک، امارات متحده عربی و دیگر کشورها مورد استفاده قرار گرفت.

NSO Group Technologies یکی از سازمان‌های نظارتی اسرائیلی است که اسکنرهای Pegasus iOS را که در سال گذشته در حملات هدفمند علیه فعالان حقوق بشر در امارات متحده عربی کشف شد، ساخته بود[۵].