یک جاسوس‌افزار اندروید به جاسوسی در مورد جویندگان کارهای امنیت نظامی در عربستان می‌پردازد!

شرکت امنیتی مک آفی در گزارشی که دیروز منتشر کرد می‌گوید که به نظر می‌رسد، یک جاسوس‌افزار اندروید، که به جاسوسی در مورد جویندگان کارهای امنیتی دولتی می‌پردازد، در عربستان سعودی کشف شده است. کد این بدافزار ضعیف است اما خود بدافزار به خوبی کار می‌کند.
این جاسوس‌افزار آشکارا خود را به عنوان یک نرم‌افزار چت، معرفی می‌کند و Chat Private نام دارد. شرکت مک‌آفی می‌گوید که این نرم‌افزار به صورت مخفی با یک وب‌گاه کاریابی که مشاغلی را برای اشخاص امنیتی در دولت یا ارتش پیشنهاد می‌دهد، همکاری می‌کند. در واقع، به نظر می‌رسد که این وب‌گاه بسیار شبیه به هر وب‌گاه کاریابی دیگری کار می‌کند و به ارائه‌ی مشاغل متعدد در بخش‌های کاری مختلف نظیر رسانه، حسابداری، آموزش پزشکی و … می‌پردازد.

مک‌آفی مطمئن است که این بدافزار به این وب‌گاه کاریابی متصل است، چرا که «به سرقت اطلاعات مخاطبین، پیامک‌های متنی و تماس‌های صوتی از دستگاه آلوده پرداخته و آن‎ها را به کارگزار مهاجم ارسال می‌کند، این کارگزار دقیقاً در همان مکانی است که وب‎گاه کاریابی قرار دارد». این گزارش حاوی دو تصویر صفحه‌ با کیفیت پایین از صفحه‌ی اصلی وب‌گاه و صفحه‌ای با این نشانی است: www.ksa-sef.com/Hack%۲۰Mobaile
وب‌گاه دوم در واقع به زبان عربی می‌گوید: «متأسفیم، اما صفحه‌ای که شما به دنبال آن هستید، یافت نشده است. لطفاً با یک موتور جستجو به دنبال آن بگردید». هیچ نشانه‌ای وجود ندارد که نشان دهد چگونه این نرم‌افزار به قربانیان معرفی می‌شود و شرکت مک‌آفی نتوانسته‌ است که اطلاعات بیشتری را در این زمینه به ما ارائه کند.
خود این نرم‌افزار را می‌توان در عین کسل‌کنندگی کارآمد دانست. هنگامی که این نرم‌افزار اجرا می‌شود، شروع به نشان دادن شماره تلفن و شرکت مخابراتی خدمات‌دهنده می‌کند و سپس با پنهان کردن آیکون نرم‌افزار از منو، خود را مخفی می‌کند.

این نرم‌افزار در پشت صحنه، به جمع‌آوری اطلاعات دستگاه، مخاطبین، تاریخچه‌ی مرورگر، پیام‎های کوتاه و سوابق تماس دستگاه آلوده می‌پردازد و همه‌ی آن‎ها را به یک پایگاه داده MySQL روی کارگزار مهاجم ارسال می‌کند. علاوه بر این، این نرم‌افزار پیامی به این متن ارسال می‌کند: «یک قربانی جدید رسید». این یک نشانه‌ی واضح از «غیر حرفه‎ای» بودن مهاجمان است که موجب شده تا مک‌آفی متوجه شود که نویسنده‌ی بدافزار بیشتر یک «اسکریپت‌نویس ناشی» است تا یک توسعه‌دهنده‌ی حرفه‌ای بدافزار.
نمونه‌های دیگری نیز نظیر استفاده از اصطلاح «جاسوس» در نام بسته و استفاده از بسته‌ی متن‌باز «call-recorder-for-android» در آن وجود دارد که همه‌ی آن‌ها را می‌توان در سایت گیت‌هاب یافت.

مک‌آفی نگرانی خود را در مورد کاربرد این بدافزار اظهار می‌کند و می‌گوید: «انگیزه‌هایی که در پس این بدافزار قرار دارند، آشکار نیستند، اما با توجه به نوع مشاغلی که در این وب‌گاه ارائه می‌شوند، نمی‌توان کاربرد این بدافزار را دست کم گرفت. اطلاعاتی که ممکن است درز پیدا کنند، تبدیل به یک تهدید امنیتی جدی خواهند شد. ما این حمله‌ی جاسوس افزاری را به تیم پاسخ اضطراری رایانه‌ در عربستان سعودی برای انجام تحقیقاتی بیشتر گزارش کرده‌ایم».
با این حال،‌ هنگامی که ما به بررسی وب‌گاه این کاریابی پرداختیم، هیچ ارجاعی به این نرم‌افزار خصوصی چت Chat Private پیدا نکردیم. اگر توزیع این نرم‌افزار، دولت و بخش‌های نظامی را هدف گرفته باشد، به نظر می‌رسد که قصد انجام کارهایی بیشتر از جمع‌آوری اطلاعات خصوصی و سرقت آنان و ارسال آن‌ها به کارگزار هدف مدنظر باشد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.