امروز: دوشنبه، 30 بهمن 1396

پژوهشگران امنیتی یکی از قدرتمندترین و پیشرفته‌ترین ابزارهای جاسوسی اندرویدی را کشف کرده‌اند که کنترل از راه دور کامل دستگاه‌های آلوده را در اختیار نفوذگران قرار می‌دهد.

 

در واقع Skygofree، جاسوس‌افزار اندرویدی است که برای نظارت بر هدف طراحی شده است، و طی ۴ سال گذشته تعداد زیادی از کاربران را هدف قرار داده است.

طبق یک گزارش جدید که توسط شرکت امنیت سایبری روسیه، آزمایشگاه کسپرسکای منتشر شده است، از سال ۲۰۱۴ میلادی، Skygofree به چندین ویژگی جدید که قبلاً مشاهده نشده، دست یافته است.

از جمله‌ی ویژگی‌های جدید و قابل ملاحضه، ضبط صدای مبتنی بر مکان با استفاده از میکروفن دستگاه، استفاده از خدمات دسترسی اندروید برای سرقت پیام‌های واتس‌اپ، و توانایی اتصال دستگاه‌های آلوده به شبکه‌های وای‌فای مخرب تحت کنترل مهاجمان هستند.

جاسوس‌افزار Skygofree از طریق صفحات وب جعلی که وانمود می‌کنند متعلق به اپراتورهای شبکه‌ی تلفن‌همراه هستند، توزیع می‌شود، که بیشتر این صفحات توسط مهاجمان از سال ۲۰۱۵ میلادی که پویش توزیع در آن زمان بسیار فعال‌تر بود،  ثبت شده است.

 

آیا شرکت فناوری اطلاعات ایتالیایی پشت جاسوس‌افزار Skygofree است؟

پژوهشگران آزمایشگاه کسپرسکای بر این باورند که نفوذگر یا گروه نفوذ پشت این ابزار نظارت بر تلفن‌همراه از سال ۲۰۱۴ میلادی فعال بوده است و در کشور ایتالیا، که یکی از بزرگ‌ترین فعالان جهان در زمینه مبادلات جاسوسی هستند، مستقر است.

در این گزارش آمده است: «با توجه به آن‌چه که ما در کد این بدافزار کشف کردیم، و همچنین بنا به تجزیه و تحلیل زیرساخت، ما کاملاً مطمئن هستیم که توسعه‌دهنده‌ی Skygofree یک شرکت فن‌آوری اطلاعات ایتالیایی است که دقیقاً مانند HackingTeam روی راهکارهای نظارتی کار می‌کند.»

کسپرسکای چند دستگاه ایتالیایی آلوده به Skygofree یافت که این جاسوس‌افزار را قدرتمندترین، و پیشرفته‌ترین نمونه‌ای توصیف کرد که تا به حال دیده شده است.

اگرچه این شرکت امنیتی نام شرکت ایتالیایی که پشت این جاسوس‌افزار است را تایید نکرده، اما در کد این جاسوس‌افزار چندین اشاره به شرکت فن‌آوری مستقر در رُم به نام «Negg» یافته است. Negg نیز به صورت تخصصی در زمینه‌ی توسعه و مبادله‌ی ابزارهای نفوذ قانونی کار می‌کند.

 

Skygofree: ابزار جاسوسی اندرویدی قدرتمند

پس از نصب، Skygofree آیکون خود را مخفی می‌کند و خدمات پس‌زمینه را برای مخفی‌سازی عملیات از دید کاربر، فعال می‌کند. همچنین شامل یک ویژگی محافظت از خود است که مانع از متوقف شدن خدمات آن می‌شود.

از ماه اکتبر سال گذشته، Skygofree به یک ابزار جاسوسی چند مرحله‌ای پیچیده تبدیل شد که با استفاده از معماری کارگزار فرمان و کنترل و بار داده‌‌ی یک شِل معکوس، کنترل از راه دور کامل دستگاه آلوده را به مهاجمان می‌دهد.

بر اساس جزئیات فنی که توسط پژوهشگران منتشر شده، Skygofree شامل چندین بهره‌برداری برای افزایش امتیاز برای  رسیدن به دسترسی ریشه است، و مجوز اجرای بارهای داده‌ی مخرب‌تر و پیچیده‌تر در دستگاه‌های اندرویدی آلوده را اعطا می‌کند.

یکی از این بارهای داده به این ابزار جاسوسی اجازه می‌دهد که کد شِل را اجرا کند و اطلاعات متعلق به سایر برنامه‌های نصب شده در دستگاه هدف مانند فیس‌بوک، واتس‌اپ و لاین و وایبر را به سرقت ببرد.

پژوهشگران گفتند: «چندین قابلیت استثنایی وجود دارد: استفاده از بهره‌برداری‌های متعدد برای دست‌یابی به مجوزهای ریشه، یک ساختار بار داده‌ی پیچیده، ویژگی‌های نظارتی که تا کنون مشاهده نشده است.»

 

کارگزار فرمان و کنترل Skygofree به مهاجمان اجازه می دهد تا تصاویر و ویدئوها را از راه دور  ضبط و ثبت کنند، گزارش تماس‌ها و پیام‌های کوتاه را به دست آورند، و بر موقعیت جغرافیایی کاربر، رویداد‌های تقویم و هر گونه اطلاعات ذخیره شده در حافظه‌ی دستگاه نظارت کنند.

علاوه بر این، Skygofree می‌تواند هنگامی که دستگاه آلوده در یک مکان خاصی است از طریق میکروفن صدا را ضبط کند و دستگاه آلوده را مجبور کند که به شبکه‌های وای‌فای آسیب‌دیده‌ی تحت کنترل مهاجم اتصال پیدا کند، و حملات مرد میانی را راه‌اندازی کند.

کسپرسکای گفت: «این جاسوس‌افزار از خدمات دسترسی اندروید استفاده می‌کند تا اطلاعات را به طور مستقیم از عناصر نمایش داده شده در صفحه بگیرد، بنابراین منتظر می‌ماند که برنامه‌ی مورد هدف راه‌اندازی شود و سپس همه‌ی گره‌ها را برای یافتن پیام‌های متنی تجزیه و تحلیل می‌کند.»

پژوهشگران کسپرسکای همچنین یک نوع دیگر از Skygofree را کشف کردند که کاربران ویندوز را هدف قرار می‌دهد، و نشان می‌دهد که هدف بعدی نویسنده‌ی آن بستر ویندوز است.

بهترین راه برای جلوگیری از قربانی شدن، پرهیز از بارگیری برنامه‌ها از وب‌گاه‌های شخص ثالث، فروشگاه‌های برنامه یا پیوندهای ارائه‌شده در پیام‌های متنی کوتاه یا رایانامه‌ها است.


منبع: https://news.asis.io