بیش از ۱۰۰۰ برنامه جاسوسی بر روی فروشگاه‎های اندرویدی پیدا شد.

اگر شما فکر می‌کنید که به علت دانلود کردن برنامه‌ها از فروشگاه Google Play در امان هستید و هیچ مشکلی برای شما پیش نمی‌آید، باید بسیار مراقب باشید.

شخصی موفق به افزودن بیش از هزاران برنامه‌ مخرب به فروشگاه‌های برنامه‌های شخص ثالث و فروشگاه Google Play شده است. این برنامه‌های مخرب تقریباً تمامی فعالیت‌های کاربر را بر روی گوشی موبایل مونیتور می‌کنند که این فعالیت‌ها شامل ذخیره تماس‌ها و برقراری تماس بدون اطلاع کاربران نیز می‌شود.

این برنامه جاسوسی که SonicSpy نامیده شده است به‌طور چشمگیری در حال گسترده شدن از طریق فروشگاه‌های برنامه‌های اندرویدی است و شروع به کار آن حداقل از ماه فوریه ۲۰۱۷ بوده و از طریق جا زدن خود به‌عنوان یک برنامه پیام‌رسان و پیشنهاد برقراری سرویس پیام‌رسانی گسترده می‌شده است.

SonicSpy می‌تواند کارهای بسیار مخربی انجام دهد.

در یک زمان واحد، برنامه‌های جاسوسی SonicSpy می‌توانند کارهای مخرب مختلفی را انجام دهند که این کارها شامل ضبط کردن مکالمات و صداهای ضبط‌شده توسط میکروفن به‌طور مخفیانه، در اختیار گرفتن دوربین گوشی همراه و عکس‌های snap، برقرار تماس با دیگران بدون اجازه کاربر و فرستادن پیامک به شماره‌های انتخاب‌شده توسط مهاجم می‌شوند.

علاوه بر این، برنامه جاسوسی SonicSpy همچنین اطلاعات کاربر نظیر تاریخچه تماس‌ها، اطلاعات مخاطبان و اطلاعات مربوط به دستگاه‌های Wi-Fi ای که دستگاه آلوده‌شده قبلاً به آنان متصل شده است را می‌دزدد که این اطلاعات می‌توانند به‌راحتی برای ردیابی مکان کاربر، مورداستفاده قرار گیرند.

این برنامه جاسوسی توسط محققان امنیتی در شرکت امنیتی موبایل Lookout کشف شده است[۱]. محققان همچنین سه نوع مختلف از برنامه‌های پیام‌رسان آلوده‌شده توسط SonicSpy را در فروشگاه رسمی Google Play پیدا کردند که هزاران بار دانلود شده‌اند.

اگرچه این برنامه‌ها که Soniac، Hulk Messenger و Troy Chat نام داشتند در حال حاضر و توسط گوگل از فروشگاه رسمی گوگل حذف شده‌اند اما این برنامه‌ها همچنان به‌طور گسترده در فروشگاه‌های شخص ثالث و به همراه دیگر برنامه‌های آلوده‌شده توسط SonicSpy وجود دارند.

مرتبط بودن عراق با برنامه جاسوسی SonicSpy

محققان بر این باورند که این بدافزار مربوط به یک توسعه‌دهنده در عراق است و می‌گویند که کل خانواده بدافزار SonicSpy از ۷۳ دستورالعمل مختلف از راه دور پشتیبانی می‌کند که مهاجم می‌تواند بر روی یک دستگاه اندرویدی آلوده اجرا کند.

ارتباط عراق با نرم‌افزارهای جاسوسی ناشی از شباهت‌های بین SonicSpy و SpyNote است. SpyNote یکی دیگر از نرم‌افزارهای مخرب اندروید است که در ماه ژوئیه ۲۰۱۶ کشف شد، که به‌عنوان یک برنامه Netflix شناخته‌شده بود و گفته می‌شود توسط یک هکر عراقی نوشته شده است[۲].

Michael Flossman مدیر بخش فناوری خدمات تحقیقاتی امنیتی در شرکت Lookout می‌گوید: “شاخص‌های زیادی وجود دارد که نشان می‌دهد یک بازیگر پشت سر توسعه این دو بدافزار قرارگرفته است. به‌عنوان‌مثال، هر دو خانواده شباهت‌هایی در کد دارند و به‌طور منظم از خدمات DNS پویا استفاده می‌کنند و بر روی پورت غیراستاندارد ۲۲۲۲ اجرا می‌شوند.”

همچنین، مهم‌ترین شاخص، نام اکانت سازنده Soniac است که iraqiwebservice بوده و بر روی فروشگاه Google Play نیز ثبت شده است.

نحوه کارکرد برنامه جاسوسی SonicSpy چگونه است؟

یکی از برنامه‌های پیام‌رسان آلوده‌شده توسط SonicSpy که از طریق فروشگاه Google Play منتشر شده بود، به‌عنوان یک ابزار ارتباطی به نام Soniac شناخته می‌شود.

هنگامی‌که این برنامه نصب می‌شود، Soniac آیکون اجرای خود را از منوی گوشی هوشمند موردنظر پاک می‌کند تا خود را از دید قربانی مخفی نگه‌داشته و به سرور command and control به‌منظور تلاش برای نصب یک برنامه تلگرام دستکاری‌شده، متصل شود.

بااین‌حال، این برنامه عملاً شامل بسیاری از ویژگی‌های مخرب است که اجازه می‌دهد مهاجمان تقریباً کنترل کامل دستگاه آلوده را در دست گرفته و می‌توانند به‌طور مخفیانه صداها را ضبط کرده، تماس برقرار کنند، عکس بگیرند و یا اطلاعات شخصی شما را ازجمله تاریخچه تماس‌ها، لیست مخاطبین و جزئیات مربوط به دستگاه‌های  Wi-Fi متصل شده را بدزدند.

این برنامه قبل از اینکه توسط گوگل حذف شود، بین ۱۰۰۰ تا ۵۰۰۰ بار دانلود شده بود، اما ازآنجایی‌که بخشی از یک خانواده و دارای ۱۰۰۰ نوع مختلف بود، این بدافزار هزاران نفر دیگر را نیز آلوده کرده است.

SonicSpy می‌تواند دوباره بر روی فروشگاه Google Play قرار گیرد.

اگرچه برنامه‌های آلوده SonicSpy اکنون از فروشگاه‌های Google Play حذف شده‌اند اما محققان هشدار داده‌اند که این بدافزار به‌طور بالقوه می‌تواند دوباره به فروشگاه Google Play و با یک حساب کاربری و رابط برنامه کاربردی دیگر وارد شود.

محققان هشدار دادند: “بازیگرانِ پشت‌صحنه‌ی این خانواده از بدافزارها نشان داده‌اند که توانایی داخل کردن نرم‌افزارهای جاسوسی خود را به فروشگاه‌های برنامه‌های رسمی نظیر گوگل دارند و به‌طور فعال درحال‌توسعه بوده و این در حالی است که روند ساخت آن به‌صورت خودکار بوده و احتمالاً SonicSpy دوباره در آینده مرکز توجهات قرار گیرد.”

درحالی‌که گوگل اقدامات امنیتی زیادی را برای جلوگیری از اجرای برنامه‌های مخرب از طریق بررسی‌های امنیتی گوگل انجام داده است، اما برنامه‌های مخرب هنوز راه خود را به فروشگاه رسمی Google Play پیدا می‌کنند.

فقط در ماه گذشته وب‌سایت خبری TheHackerNews درباره یک بدافزار هوشمند که Xavier نامیده می‌شد و در بیش از ۸۰۰ برنامه مختلف اندرویدی که میلیون‌ها بار از فروشگاه Google Play دانلود شده بودند، قرار داشت هشدار داد که به‌صورت مخفیانه اطلاعات حساس کاربران را جمع‌آوری می‌کرد و می‌توانست کارهای خطرناکی انجام دهد[۳].

در ماه آوریل ۲۰۱۷، همین سایت خبری در ارتباط با یک تروجان بانکی به نام BankBot هشدار داد که راه خود را به فروشگاه رسمی گوگل بازکرده بود و این قابلیت را داشت که با پیدا کردن دسترسی مدیریتی بر روی دستگاه‌های آلوده‌شده بسیاری از کارهای خطرناک را انجام داده که شامل دزدیدن نام کاربری و کلمه عبور کاربران برای ورود به صفحه بانکی آن‌ها می‌شد[۴].

در همین ماه در حدود ۲ میلیون کاربر، قربانی بدافزار FalseGuide شدند که خود را بر روی بیش از ۴۰ بازی معروف موبایل مخفی کرده بود که شامل بازی‌های PokemonGo و فیفا بر روی فروشگاه رسمی گوگل می‌شد [۵].

چگونه از خود در برابر چنین بدافزارهایی مراقبت کنید؟

ساده‌ترین راه برای محافظت از خودتان در برابر چنین بدافزارهای هوشمندی، این است که همیشه مراقب برنامه‌های گول‌زننده باشید حتی اگر آن‌ها را از فروشگاه رسمی گوگل دریافت می‌کنید. همچنین فقط برنامه‌هایی را دانلود کنید که توسط برندهای معروف تولید شده‌اند.

علاوه بر این، همیشه نقدهای کاربرانی که درگذشته این برنامه را دانلود کرده‌اند با دقت بخوانید. همچنین باید مراقب باشید که چه اجازه‌هایی در هنگام نصب به برنامه می‌دهید و تمامی آن‌ها را قبل از نصب شدن بررسی کنید.

همچنین برنامه‌ها را از منابع شخص ثالث دانلود نکنید. گرچه در این مورد، این بدافزار خاص توسط فروشگاه رسمی گوگل نیز گسترده شده بود، اما بیشتر کاربرانی که آلوده‌شده‌اند این بدافزار را از منابع شخص ثالث دانلود کرده بودند.

آخرین نکته که از اهمیت بالایی نیز برخوردار است اینکه به شما شدیداً توصیه می‌کنیم که یک نرم‌افزار آنتی‌ویروس بسیار خوب بر روی دستگاه خود نصب کنید که بتواند چنین بدافزارهایی را تشخیص داده و بلاک کند قبل از اینکه دستگاه شما را آلوده کنند و دستگاه و برنامه‌های خود را همیشه به‌روزرسانی کنید.

منابع

[۱] https://blog.lookout.com/sonicspy-spyware-threat-technical-research

[۲] https://researchcenter.paloaltonetworks.com/2016/07/unit42-spynote-android-trojan-builder-leaked/#more-16279

[۳] https://apa.aut.ac.ir/?p=2684

[۴] https://apa.aut.ac.ir/?p=2422

[۵] http://thehackernews.com/2017/04/android-malware-playstore.html

[۶] http://thehackernews.com/2017/08/android-spyware-apps-hack.html