گوگل یک نرم‌افزار جاسوسی (Tizi) تحت سیستم‌عامل اندروید را شناسایی کرد که از تماس‌های واتزاپ و اسکایپ جاسوسی می‌کرد.

در تلاش برای محافظتِ کاربران اندروید در برابر بدافزارها و برنامه‌های مشکوک، گوگل به‌طور مداوم برای شناسایی و حذف برنامه‌های مخرب از دستگاه‌های کاربران خود از طریق سرویس Google Play Protect تلاش می‌کند.

Google Play Protect یک ویژگی امنیتی است که با استفاده از فراگیری ماشین^(۱) و تجزیه‌وتحلیل استفاده از برنامه^(۲)، دستگاه‌ها را به‌منظور در معرض آسیب بالقوه بودن در برابر نرم‌افزارهای مخرب بررسی می‌کند[۱]. این ویژگی به‌تازگی به محققان گوگل کمک کرد تا یک خانواده جدید از نرم‌افزارهای جاسوسی تحت اندروید را شناسایی کنند که اطلاعات زیادی را از کاربرانشان می‌دزدند.

Tizi یک در پشتی تحت سیستم‌عامل اندروید و با ویژگی‌های کامل است که بر روی دستگاه‌های مورد هدف در کشورهای آفریقایی کشف شده است. این بدافزار دارای قابلیت‌های root کردن است که برنامه‌های جاسوسی را بر روی دستگاه‌های قربانی نصب می‌کند تا اطلاعات حساس را از برنامه‌های محبوب اجتماعی مانند فیس‌بوک، توییتر، واتزاپ، وایبر، اسکایپ، LinkedIn و تلگرام بدزدد.

گوگل در یک گزارش توضیح داده است که[۲]: “تیم امنیتی Google Play این خانواده از نرم‌افزارهای جاسوسی را در ماه سپتامبر ۲۰۱۷ کشف کرد، هنگامی‌که جستجوی دستگاه‌ها یک برنامه با قابلیت‌های root کردن را پیدا کرد که آسیب‌پذیری‌های قدیمی را مورد بهره‌برداری قرار می‌داد. این تیم از این برنامه برای پیدا کردن برنامه‌های بیشتر در خانواده Tizi استفاده کرد که قدیمی‌ترین آن‌ها مربوط به ماه اکتبر ۲۰۱۵ می‌شد.”

بیشتر برنامه‌های آلوده‌شده توسط Tizi بر روی وب‌سایت‌های شبکه‌های اجتماعی و فروشگاه‌های برنامه‌های شخص ثالث تبلیغ می‌شوند و کاربران را فریب می‌دهند تا آن‌ها را نصب کنند.

پس از نصب هر یک از این برنامه‌ها، این برنامه‌ی به‌ظاهر بی‌خطر به دنبال دسترسی ریشه به دستگاه آلوده برای نصب نرم‌افزارهای جاسوسی است که ابتدا با سرورهای فرماندهی و کنترل^(۳) خود با ارسال یک پیامک کوتاه و ارسال مختصات GPS دستگاه آلوده به یک شماره خاص، ارتباط برقرار می‌کند.

در اینجا نحوه به دست آوردن دسترسی در حد ریشه توسط Tizi بر روی دستگاه‌های آلوده آورده شده است.

برای دستیابی به دسترسی ریشه، یک در پشتی از آسیب‌پذیری‌های قبلاً کشف‌شده در چیپ‌ست‌های قدیمی بهره‌برداری می‌کند، ازجمله این آسیب‌پذیری‌ها می‌توان به CVE-2012-4220 ،CVE-2013-2596 ،CVE-2013-2597 ،CVE-2013-2595 ،CVE-2013-2094 ،CVE-2013-6282 CVE-2014-3153 ،CVE-2015-3636 و CVE-2015-1805 اشاره کرد.

اگر یک در پشتی قادر به دسترسی ریشه به دستگاه آلوده به علت وصله شدن همه آسیب‌پذیری‌های ذکرشده نباشد، گوگل می‌گوید: “این در پشتی همچنان تلاش می‌کند برخی از اقدامات را از طریق سطح بالای مجوز‌هایی که کاربر به آن اعطا می‌کند، انجام دهد، که عمدتاً شامل خواندن و ارسال پیام‌های کوتاه و نظارت، هدایت و جلوگیری از تماس‌های تلفنی خروجی می‌شود.”

نرم‌افزار جاسوسی Tizi همچنین برای برقراری ارتباط با سرورهای فرماندهی و کنترل آن بر روی HTTPS معمولی یا با استفاده از پروتکل پیام‌رسانی MQTT برای دریافت دستورات از مهاجمان و آپلود اطلاعات سرقت شده طراحی شده است.

در پشتی Tizi شامل قابلیت‌های مختلفی است که در نرم‌افزارهای جاسوسی تجاری نیز وجود دارد، مانند:

• سرقت اطلاعات از سیستم‌عامل‌های محبوب اجتماعی شامل فیس‌بوک، توییتر، واتزاپ، وایبر، اسکایپ، LinkedIn و تلگرام
• ضبط تماس از واتزاپ، وایبر و اسکایپ
• ارسال و دریافت پیامک
• دسترسی به رویدادهای تقویم، گزارش‌های تماس، مخاطبین، عکس‌ها و لیست برنامه‌های نصب‌شده
• سرقت کلیدهای رمزگذاری Wi-Fi
• ضبط صدای محیط و گرفتن عکس بدون نمایش عکس موردنظر بر روی صفحه‌نمایش دستگاه

تاکنون گوگل ۱۳۰۰ دستگاه اندرویدی آلوده‌شده به Tizi را شناسایی و حذف کرده است.

اکثر آن‌ها در کشورهای آفریقایی، به‌ویژه کنیا، نیجریه و تانزانیا قرار داشتند.

چگونه باید از دستگاه دارای سیستم‌عامل اندروید خود در برابر مهاجمان محافظت کنید؟

چنین نرم‌افزار جاسوسی تحت اندرویدی می‌تواند برای هدف قرار دادن دستگاه‌های شما نیز مورداستفاده قرار گیرد، بنابراین اگر شما دارای یک دستگاه دارای سیستم‌عامل اندروید هستید، به شما به‌شدت توصیه می‌شود تا به‌منظور محافظت از خود مراحل ساده زیر را دنبال کنید:

• اطمینان حاصل کنید که قبلاً گزینه Google Play Protect را فعال کرده‌اید.
• برنامه‌ها را فقط از فروشگاه رسمی گوگل دانلود و نصب کنید و مجوزهای هر برنامه را بررسی کنید.
• ویژگی verify apps را در بخش تنظیمات فعال کنید.
• از دستگاه‌های خود با تنظیم قفل پین یا رمز عبور محافظت کنید، به‌طوری‌که هیچ‌کس نتواند به دستگاه شما و درزمانی که بدون مراقبت باقی‌مانده دسترسی داشته باشد.
• منابع “ناشناخته” را درزمانی که از آن استفاده نمی‌کنید غیرفعال کنید.
• دستگاه خود را همیشه با آخرین وصله‌های امنیتی به‌روز نگه دارید.

منابع

[۱] https://thehackernews.com/2017/05/google-play-protect-android.html

[۲] https://security.googleblog.com/2017/11/tizi-detecting-and-blocking-socially.html

[۳] https://thehackernews.com/2017/11/android-spying-app.html

(۱) machine learning
(۲) app usage analysis
(۳) command-and-control