امروز: چهارشنبه، 25 مهر 1397

پژوهش‌گران امنیتی یک تروجان دسترسی از راه دور اندرویدی شناسایی کرده‌اند که می‌تواند اطلاعات زیادی مانند برنامه‌های نصب‌شده، شماره تلفن، شناسه‌ی منحصر‌به‌فرد تلفن، موقعیت مکانی، اطلاعات مخاطبان ذخیره‌شده، پیامک‌های ذخیره‌شده، تاریخچه‌ی تماس‌ها، رایانامه‌های ذخیره‌شده، و تصاویر را از دستگاه‌های آلوده به سرقت ببرد. این بدافزار تلفن همراه که KevDroid نام دارد...

 

تالوس گزارش داد، این بدافزار تلفن همراه که KevDroid نام دارد می‌تواند اطلاعات مربوط به مخاطبان، پیام‌ها، و تاریخچه‌ی دستگاه را به سرقت ببرد و همچنین قادر است تماس‌های تلفنی را ضبط کند. دو نسخه از این بدافزار تا کنون شناسایی شده است.

یکی از این دو نسخه از آسیب‌پذیری CVE-۲۰۱۵-۳۶۳۶ برای به دست‌ آوردن دسترسی ریشه بهره‌برداری می‌کند، اما هر دو نسخه‌ی این بدافزار شناسایی‌شده از یک قابلیت ضبط تماس مشترک استفاده می‌کنند که از یک پروژه‌ی متن باز در گیت‌هاب گرفته شده است.

وقتی دستگاهی تحت تاثیر این بدافزار قرار می‌گیرد، نسخه‌ی اول KevDroid می‌تواند اطلاعاتی مانند برنامه‌های نصب‌شده، شماره تلفن، شناسه‌ی منحصر‌به‌فرد تلفن، موقعیت مکانی، اطلاعات مخاطبان ذخیره‌شده، پیامک‌های ذخیره‌شده، تاریخچه‌ی تماس‌ها، رایانامه‌های ذخیره‌شده، و تصاویر را جمع‌آوری کرده و به سرقت ببرد.

 

نسخه‌ی دوم این بدافزار که از نظر اندازه بزرگ‌تر است در ماه فوریه در URL مربوط به نوع اول میزبانی شد، و مشاهده شده است که از پایگاه داده‌های SQLite برای ذخیره‌ی داده‌ها استفاده می‌کند. این نسخه از بدافزار نیز از قابلیت‌های جمع‌آوری داده‌ی مشابه نسخه‌ی اول بهره‌ می‌برد و همچنین دارای قابلیت‌هایی مانند ضبط دوربین، ضبط صدا، سرقت تاریخچه‌ی وب، سرقت پرونده، و توانایی دسترسی ریشه‌ای به دستگاه را دارا است.

یک پرونده‌ی ELF جاسازی‌شده در این بدافزار تلاش می‌کند تا از آسیب‌پذیری CVE-۲۰۱۵-۳۶۳۶ که از یک کد که برای به دست آوردن امتیازات ریشه استفاده می‌کند و در گیت‌هاب موجود است، استفاده کند. این بدافزار با به دست آوردن امتیازات بالاتر می‌تواند اقدامات عمیق‌تری مانند سرقت پرونده از برنامه‌های دیگر انجام دهد.

تابلوس اظهار کرد: «اگر یک مهاجم بتواند به برخی از این اطلاعات که بدافزار KevDroid جمع‌آوری می‌کند به طور موفقیت‌آمیزی دست یابد، می‌تواند مشکلات زیادی را برای قربانی به وجود آورد. از نظر اجتماعی داده‌های زیادی در یک دستگاه تلفن همراه ذخیره می‌شود. این داده‌ها می‌توانند داده‌های حساسی مانند عکس‌ها، گذرواژه‌ها، اطلاعات بانکی یا مهندسی اجتماعی باشند.»

تالوس می‌گوید: «مهاجمان همچنین می‌توانند تصاویر یا اطلاعات محرمانه‌ی قربانیان را نیز تحت تاثیر قرار دهند، آن‌ها می‌توانند گواهی‌نامه‌ها و توکن‌های چند عامله را به سرقت ببرند، و همچنین می‌توانند با استفاده از دسترسی به اطلاعات خاص کلاه‌برداری‌های مالی یا بانکی انجام دهند. اگر دستگاه آلوده در یک محیط‌های سازمانی مورد استفاده قرار بگیرد، یک حمله‌ی KevDroid می‌تواند منجربه جاسوسی سایبری شود.»

 

پژوهش‌گران امنیتی در حالی که این تهدید را تجزیه و تحلیل می‌کردند، همچنین یک تروجان دسترسی از راه دور پیدا کردند که دستگاه‌های ویندوز را هدف قرار می‌دهد و در کارگزار دستور و کنترل بدافزار KevDroid میزبانی می‌شود. آ‌ن‌ها این بدافزار را PubNubRAT نامیدند، زیرا این بدافزار از شبکه‌ی جریان داده‌ی جهانی PubNub به عنوان یک کارگزار دستور و کنترل استفاده می‌کند و واسط‌های برنامه‌نویسی PubNub برای ارسال دستورات خود به سامانه‌های آسیب‌دیده مورد استفاده قرار می‌دهد.

تالوس خاطرنشان کرد: «استفاده‌ی مهاجمان از سرویس‌های قانونی همیشه برای مدافعان یک چالش است. شناسایی ارتباطات مخرب پنهان در جریان‌های شبکه‌ی قانونی دشوار است، به خصوص اگر درخواست‌ها از طریق پروتکل HTTPS از رمزنگاری استفاده کنند.»

یک پرونده‌ی RTF تلاش می‌کند تا از آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ در آفیس که از یک شی Microsoft Equation جاسازی‌شده استفاده می‌کند، برای آلوده‌سازی استفاده کند. این سند به زبان کره‌ای نوشته شده است و حاوی اطلاعاتی درباره‌ی بیت‌کوین و چین است.

هنگامی که این بدافزار یک سامانه را آلوده می‌کند، می‌تواند پرونده‌ها را سرقت کرده و یا بارگیری کند، دستورات را اجرا کند، فرآیندها را از بین ببرد، و از صفحه‌ی نمایش عکس بگیرد.

به گفته‌ی تالوس، آن‌ها تحقیقات خود را درباره‌ی این خانواده‌ی بدافزار آغاز کردند زیرا احتمال می‌دادند که این بدافزار مربوط به گروه نفوذ Group ۱۲۳ باشد، اما شواهدی که آن‌ها کشف کردند برای تشخیص یک ارتباط شفاف بین این بدافزار و گروه Group ۱۲۳ بسیار ضعیف بودند.

تالوس نتیجه‌گیری کرد: «ما یک ارتباط قوی بین دو نمونه‌ای بدافزاری و گروه نفوذ Group ۱۲۳ پیدا نکردیم. هم‌پوشانی‌های TTP بسیار کم است، استفاده از زیرساخت ابر عمومی به عنوان یک کارگزار دستور و کنترل چیزی است که پیش از این نیز نه فقط توسط گروه Group ۱۲۳، بلکه توسط بدافزارهای دیگری نیز به عنوان یک روش مورد استفاده قرار گرفته است. علاوه‌بر این، کارگزار دستور و کنترل در کره قرار گرفته است و این بدافزار کاربران کره‌ای را هدف قرار می‌دهد. به هر حال ما با این اطلاعات نمی‌توانیم نتیجه‌گیری کنیم که رابطه‌ای بین گروه Group ۱۲۳ و این بدافزار وجود دارد.»

منبع: https://news.asis.io