Triout

محققان امنیتی یک فریم‌وورک دژافزاری اندرویدی جدید و قدرتمند را که توسط مجرمان سایبری مورداستفاده قرار می‌گیرد تا برنامه‌های قانونی را به نرم‌افزارهای جاسوسی با قابلیت‌های گسترده نظارتی تبدیل کند کشف کردند. به نظر می‌رسد این دژافزار به‌عنوان بخشی از آنچه که ظاهراً یک کمپین جاسوسی هدفمند است، باشد.

برنامه‌های قانونی تحت اندروید که با یک فریم‌وورک دژافزاری به نام Triout همراه می‌شوند، قابلیت جاسوسی بر روی دستگاه‌های آلوده را به دست می‌آورند و فعالیت‌های از قبیل ضبط تماس‌های تلفنی و نظارت بر پیام‌های متنی، سرقت مخفیانه عکس‌ها و فیلم‌ها و جمع‌آوری داده‌های مربوط به موقعیت مکانی را بدون اطلاع کاربران انجام می‌دهند.

محققان امنیتی در Bitdefender در روز ۱۵ ماه مه ۲۰۱۸ یک نمونه از نرم‌افزارهای جاسوسی بر پایه Triout را کشف کردند هنگامی‌که یک نمونه از این دژافزار بر روی VirusTotal توسط شخص دیگری در روسیه قرار داده شد، اما بیشترین اسکن‌ها از محل دیگری به دست آمد.

در یک مقاله که در تاریخ ۲۰ اوت ۲۰۱۸ چاپ شد[۱] یک محقق امنیتی به نام Cristofor Ochinca گفت که نمونه دژافزار آنالیز شده توسط آن‌ها درون یک نسخه موذی از یک برنامه اندرویدی قرار داده شده بود که در Google Play و تا سال ۲۰۱۶ در دسترس بود ولی از آن زمان به بعد حذف شده بود.

این دژافزار کاملاً مخفیانه عمل می‌کند؛ به صورتی که نسخه تغییر داده‌شده‌ی برنامه اندروید، ظاهر و حالت برنامه اصلی را حفظ کرده و عملکردی دقیقاً مشابه با آن دارد. در این مورد، محققان یک برنامه خاص را تحلیل کردند تا قربانیان را فریب دهند.

بااین‌حال، در حقیقت، این برنامه حاوی یک payload موذیِ Triout است که دارای قابلیت‌های نظارتی قوی است که داده‌های کاربران را سرقت می‌کند و آن‌ها را به یک سرور فرمان و کنترل (C&C) که تحت کنترل مهاجم است، ارسال می‌کند.

به گفته محققان، Triout می‌تواند عملیات جاسوسی گسترده‌ای را انجام دهد، و یک سیستم را در معرض خطر قرار دهد، ازجمله:

  • ضبط هر تماس تلفنی، ذخیره آن را به‌صورت یک فایل رسانه‌ای، و سپس ارسال آن همراه با شناسه تماس‌گیرنده به یک سرور فرمان و کنترل از راه دور
  • ارسال هر پیامک ورودی به سرور فرمان و کنترل از راه دور
  • ارسال تمام لاگ‌های تماس (با نام، شماره، تاریخ، نوع و مدت‌زمان) به سرور فرمان و کنترل
  • ارسال هر عکس و ویدئو به مهاجمان در هر زمان که کاربر یک عکس یا ویدیو را ضبط می‌کند، با دوربین جلو یا عقب
  • توانایی پنهان کردن خود در دستگاه آلوده‌شده

اما علیرغم توانایی‌های قدرتمند این دژافزار، این محققان دریافتند که این دژافزار از obfuscation استفاده نمی‌کند، که به محققان اجازه دسترسی کامل به کد منبع خود را تنها با باز کردن فایل APK، می‌دهد.

Ochinca دراین‌باره می‌گوید: “این امر می‌تواند نشان دهد که این فریم‌وورک در حال پیشرفت باشد، و توسعه‌دهندگان در حال تست ویژگی‌های آن و بررسی سازگاری آن با دستگاه‌ها هستند”.

اگرچه محققان قادر به پیدا کردن اینکه چگونه این نسخه تغییریافته از یک برنامه قانونی پخش شده است و یا اینکه دقیقاً چند بار به‌طور موفقیت‌آمیز نصب شده است، نشدند اما اعتقاد دارند که این دژافزار به‌وسیله فروشگاه‌های نرم‌افزاری شخص ثالث یا سایر دامنه‌های کنترل‌شده توسط مهاجم به قربانیان تحویل داده می‌شود که احتمالاً برای میزبانی از این دژافزار استفاده می‌شود.

Ochinca توضیح می‌دهد که نمونه Triout تحلیل‌شده هنوز با گواهی معتبر Google Debug امضا شده است.

در آن زمان، هیچ شواهدی در مورد مهاجمان وجود ندارد و یا مشخص نیست که آن‌ها چه کسی هستند و در کجا قرار دارند، اما مشخص است که این مهاجمان بسیار حرفه‌ای هستند و برای توسعه یک شکل پیچیده از یک فریم‌وورک جاسوسی دارای منابع متعدد هستند.

بهترین راه برای محافظت از خود و برای جلوگیری از سقوط در دام چنین برنامه‌های موذی این است که همیشه برنامه‌ها را از منابع قابل‌اعتماد مانند فروشگاه Google Play دانلود کنید و تنها به توسعه‌دهندگان تأییدشده اعتماد کنید.

همچنین مهم‌تر از همه قبل از اعطای مجوز به هر برنامه برای خواندن پیام‌های شما، دسترسی به لاگ‌های تماس، مختصات GPS و هرگونه اطلاعات دیگر که از طریق حسگرهای اندروید به دست می‌آید، به‌دقت فکر کنید.

منابع

[۱]https://labs.bitdefender.com/2018/08/triout-spyware-framework-for-android-with-extensive-surveillance-capabilities

[۲] https://thehackernews.com/2018/08/android-malware-spyware.html