هشدار مرکز افتا درباره یک بدافزار
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات در این باره اعلام کرد: مهاجمان نوع جدیدی از RATهای اندرویدی را از طریق فروشگاههای اپلیکیشن (برنامهکاربردی) شخص ثالث، رسانههای اجتماعی و برنامههای پیامرسان توزیع کردهاند که نکته مهم درخصوص این نوع حمله تمرکز روی کاربران ایرانی است. مطابق با این اعلام، مهاجمان در قالب تکنیکهای مهندسی اجتماعی نظیر برنامههای کاربردی دریافت ارز دیجیتال رایگان (بیتکوین)، اینترنت رایگان و افزایش دنبالکنندگان (Followers) در شبکههای اجتماعی اقدام به توزیع این RAT کردهاند. این بدافزار در تمامی نسخههای سیستمعامل اندروید قابل اجرا است. محققان امنیتی موسسه ESET نیز با تایید شناسایی این خانواده جدید از بدافزار جاسوسی، عنوان کردهاند که این بدافزار از اکتبر سال ۲۰۱۷ میلادی انتشار یافته و در تاریخ مارس سال ۲۰۱۸ کد منبع آن بهصورت کاملا رایگان در کانالهای هک پیامرسان تلگرام در دسترس عموم قرار داده شده است.
زمانی که برنامه آلوده نصب میشود با استفاده از تکنیکهای مهندسی اجتماعی اقدام به دریافت مجوزهای مدیریتی میکند و پس از اتمام فرآیند نصب، یک پیغام جعلی با مضمون «برنامه قادر به اجرا روی دستگاه مورد نظر شما نیست» و در ظاهر پیغام «پایان مراحل پاککردن» بهصورت popup برای قربانی نمایش داده میشود. نکته مهم درخصوص این بدافزار این است که پیغام پاک کردن برنامه نصب شده صرفا اقدام به حذف آیکون میکند و برنامه مخرب همچنان در دستگاه قربانی باقی خواهد ماند و به این ترتیب دستگاه مورد نظر در سرور مهاجمان ثبت میشود. این بدافزار شامل گستره وسیعی از قابلیتها نظیر جاسوسی و استخراج فایلها، شنود و رهگیری پیامهای متنی و لیست مخاطبان، ارسال پیام متنی و برقراری تماس، ضبط صدا و تصویربرداری از صفحه نمایش، موقعیت جغرافیایی دستگاه و کنترل تنظیمات دستگاه است.
این RAT که با نام HeroRat شناخته شدهاست به دستههای مختلفی نظیر پنلهای برنزی (معادل ۲۵ دلار آمریکا)، نقرهای (۵۰دلار آمریکا) و طلایی (۱۰۰ دلار آمریکا) تقسیم شده و کد منبع آن به قیمت ۶۰۰ دلار آمریکا به فروش رسیده است . این بدافزار با ثابتافزار Xamarin توسعه داده شده است. مهاجم با استفاده از قابلیتهای Telegram bot اقدام به کنترل دستگاه آلوده میکند. بهعنوان مثال، مهاجم میتواند دستگاه قربانی خود را به سادگی فشردن دکمههای تعبیه شده در نسخه بدافزار، تحت کنترل خود در آورد. این جاسوس افزار تبادل اطلاعات بین سرور C&C و دادههای استخراج شده را به منظور جلوگیری از رصد ترافیک شبکه از طریق پروتکل تلگرام انجام میدهد.
ارسال نظر