پیام‌رسان‌های جعلی کار دست کاربران می‌دهند

بدافزارها و نرم‌افزارهاي مخرب در هر يک از فروشگاه‌هاي آنلاين يافت مي‌شوند؛ بسياري از برنامه‌هايي که تحت عناوين مختلف براي سيستم عامل اندرويد منتشر مي­‌شوند، از روي برنامه‌هاي منبع باز ساخته شده‌اند. بسياري از اين برنامه‌ها صرفاً با تغيير نام و آيکون به‌عنوان برنامه‌هاي گوناگون و با هدف استفاده از سرويس­‌هاي تبليغاتي داخل اين برنامه­‌ها و درآمدزايي براي منتشرکننده برنامه، توليد مي‌شوند.

به‌تازگي محققان امنيتي يک نمونه بدافزار اندرويدي نسبتا شناخته‌شده را رديابي کردند که از طريق پيام‌رسان‌هاي جعلي مانند Threema ، Telegram و WeMessage توزيع مي‌شد. بر اساس اطلاعات مرکز مديريت راهبردي افتا، با بررسي‌هاي شرکت ESET مشخص شده است که ليست ويژگي‌هاي اين بدافزار با نام APT-C-23 ، شامل امکان بي‌صدا کردن اعلان‌هاي برنامه‌هاي امنيتي با دستگاه‌هاي سامسونگ ، شيائومي و هواوي است که اجازه مي‌دهد حتي در صورت شناسايي فعاليت آن، مخفي بماند.

علاوه بر اين، بدافزار مي‌تواند اعلان‌هاي برنامه‌هاي پيام‌رسان‌هاي تلگرام، اينستاگرام، اسکايپ، فيس‌بوک، واتس‌اپ، مسنجر و وايبر را بخواند و به طور موثر پيام‌هاي دريافتي را به سرقت ببرد. بدافزار جاسوسي APT-C-23 مي‌تواند صفحه نمايش (فيلم و تصوير) و همچنين تماس‌هاي ورودي و خروجي را از طريق واتس‌اپ ضبط کند و قادر است با ايجاد يک تداخل روي صفحه سياه از يک تلفن غيرفعال، به‌صورت مخفي تماس برقرار کند.

گروهي هکري پيشرفته APT-C-23 در سال ۲۰۱۵  از اين بدافزار براي جاسوسي از موسسات نظامي و آموزشي استفاده کرده‌اند. جاسوس‌افزار APT-C-23 با نام‌هاي مختلف Big Bang APT  وTwo-tailed Scorpion توسط برخي شرکت‌هاي امنيت سايبري رديابي مي شود. گروه هکري APT-C-23 بدافزارهايي را براي سيستم‌عامل‌هاي ويندوز (KasperAgent ، Micropsia) و اندرويد GnatSpy ، Vamp ، FrozenCell به کار گرفته که به اهدافي در خاورميانه حمله کنند.

در مقايسه با نرم‌افزارهاي جاسوسي قبلي براي اندرويد، آخرين نسخه از APT-C-23 قابليت فراتر از ضبط صدا، سرقت گزارش‌هاي تماس، پيام کوتاه، مخاطبين و انواع پرونده‌هاي خاص مانندPDF ، DOC ، DOCX ، PPT ، PPTX ، XLS ، XLSX ، TXT ، JPG ، JPEG ، PNG  را دارد.‌نسخه به‌روزشده اين نرم‌افزار جاسوسي به آن اجازه مي‌دهد تا آن دسته از اعلان‌ راه‌حل‌هاي امنيتي را رد کند که در دستگاه‌هاي سامسونگ، شيائومي و هواووي اجرا مي‌شوند، بنابراين بدافزار مي‌تواند بدون جلب توجه، جاسوسي کند.

شيوه پنهان شدن در برنامه‌هاي جعلي

پايگاه اينترنتي bleepingcomputer نوشت: يک از محققان امنيتي، توييتي را آوريل سال جاري، منتشر و افشا کرد: قطعه‌اي از نرم‌افزارهاي جاسوسي از اندرويد وجود دارد که ميزان تشخيص آن در VirusTotal بسيار پايين است؛ با بررسي اين نمونه، محققان شرکت ESET دريافتند که اين بخشي از جعبه ابزار بدافزار است که توسط عامل تهديدگر APT-C-23 استفاده مي‌شود.

اين محقق، حدود دو ماه بعد، نمونه جديدي از همان بدافزار را پيدا کرد که در فايل نصب برنامه پيام‌رسان تلگرام موجود درDigitalApps   (فروشگاه غير رسمي اندرويد) پنهان شده بود.
پس از آن، کارشناسان شرکت ESET دريافتند که بدافزار جاسوس در Threema يک پلت فرم پيام‌رسان ايمن و همچنين AndroidUpdate ، برنامه‌اي که به عنوان بروزرساني سيستم براي پلت فرم تلفن همراه ظاهر مي شود، به صورت پنهان، وجود دارد.

کارشناسان معاونت بررسي مرکز مديريت راهبردي افتاي رياست جمهوري معتقدند استفاده از فروشگاه DigitalApps تنها يکي از روش‌هاي توزيع عوامل تهديدگر براي آلوده کردن قربانيان است زيرا برنامه‌هاي ديگري نيز وجود دارد که در فروشگاه موجود نيستند اما حاوي همان نرم‌افزار جاسوسي هستند، بنابراين کاربران سيستم‌هاي اندرويدي همچنان بايد برنامه‌هاي مورد نياز خود را از فروشگاه‌هاي معتبر دانلود کنند.