روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اینکه کاربران سرویس‌های پیام‌رسان فوریِ محبوب، اپ‌های کلاینت رسمی خود را ناکارامد بیایند کم پیش نمی‌آید. توسعه‌دهندگان طرف‌سوم برای پرداختن به این معضل دست به ساخت مودهای می‌زنند که علاوه بر آپگریدهای زیبایی‌شناختی، قابلیت‌هایی را که مدت‌ها بود همه دنبالش بودند نیز ارائه می‌دهند. متأسفانه برخی از این مودها در کنار ارتقای قانونی حاوی بدافزار نیز هستند. نمونه‌اش موردی که سال گذشته کشف کردیم: تروجانی به نام تریادا در مود واتس اپ. اخیراً هم مود تلگرامی را که در خود ماژول جاساز جاسوس داشته شرح دادیم که ازطریق گوگل‌پلی توزیع شده بود. همین داستان اکنون برای واتس‌اپ اتفاق افتاده: چند مود که پیشتر بی‌ضرر بودند اکنون کاشف بعمل آمده حاوی ماژول جاسوس هستند و ما آن را به عنوان Trojan-Spy.AndroidOS.CanesSpy شناسایی کردیم. گفته می‌شود این مود جاسوس که در واتس‌اپ جاسازشده از طریق تلگرام و میان کاربران عرب‌زبان در حال توزیع است. با ما همراه بمانید.

ساز و کار این ماژول جاسوسی

ما برای اینکه نشان دهیم ماژول‌های جاسوسی چطور کار می‌کنند از نمونه 80d7f95b7231cc857b331a993184499d استفاده خواهیم کرد.

این مانیفست کلاینت تروجان‌زده حاوی اجزای مشکوکی (یک سرویس و یک گیرنده برادکست) است که نمی‌تواند در کلاینت اورجینال واتس‌اپ پیدا شود. دریافت‌کننده برادکست از سیستم و سایر اپ‌ها برادکست‌ها را گوش می‌دهد؛ مثل زمانیکه گوشی شروع به شارژ شدن می‌کند یا، پیام متنی دریافت می‌شود یا دانلودری کار دنلودش به اتمام می‌رسد. وقتی دریافت‌کننده پیامی این‌چنینی دریافت می‌کند به مدیر رخداد زنگ می‌زند. در مود جاسوس واتس‌اپ، دریافت‌کننده سرویسی را اجرا می‌کند که وقتی گوشی روشن شده یا شروع به شارژ شدن می‌کند، ماژول جاسوس لانچ می‌شود.

هنگامی که ایمپلنت مخرب شروع شد، یک درخواست POST حاوی اطلاعات مربوط به دستگاه را در مسیر /api/v1/AllRequest به سرور اپراتور تهدید ارسال می‌کند. اطلاعات شامل IMEI، شماره تلفن، کد کشور تلفن همراه، کد شبکه تلفن همراه و غیره می‌شود. تروجان همچنین جزئیات پیکربندی، مانند مسیرهای آپلود انواع مختلف داده، فواصل بین درخواست‌ها به C&C و غیره را درخواست می‌کند. علاوه بر این، ماژول اطلاعات مربوط به مخاطبین و حساب های قربانی را هر پنج دقیقه ارسال می‌کند.

پس از آپلود موفقیت‌آمیز اطلاعات دستگاه، بدافزار شروع به درخواست دستورات از C&C می‌کند که توسعه‌دهندگان آن را "سفارش" می نامند، در فواصل از پیش تنظیم شده (به طور پیش فرض یک دقیقه). جدول زیر حاوی توضیحات مفصلی از دستورات و مسیرهایی است که بدافزار برای ارسال پاسخ ها به سرور استفاده می‌کند.

فرمان: GET_FILE

مسیر پیش‌فرض واکنش: /api/v1/UploadFileWithContinue

شرح: ارسال یک فایل از حافظه خارجی (مموری خارج از سیستم یا مدیوم قابل‌جابجایی مانند کارت اس‌دی) به عنوان آرشیو زیپ

تنظیمات: مسیر فایل روی دستگاه قربانی

فرمان: UploadFileWithQuery

مسیر پیش‌فرض واکنش: /api/v1/UploadFileWithContinue

شرح: ارسال فایل‌ها از ذخیره‌گاه خارجی که فیلتر بخصوصی را به عنوان آرشیو زیپ هماهنگ می‌کند.

تنظیمات: یک فیلتر ردیف SQL SELECT استفاده‌شده برای انتخاب داده موقع فراخوانی  ContentResolver (این دسته‌بندی برای دسترسی به فایل روی دستگاه‌های اندروید استفاده شده)

فرمان: GetAllFileList

مسیر پیش‌فرض واکنش: /api/v1/SaveFileNames

شرح: ارسال مسیرها به همه فایل‌های ذخیره‌گاه خارجی

فرمان: GET_SPEC_FILE_TYPE

مسیر واکنش به رخداد: /api/v1/SaveFileNames

شرح: ارسال نام فایل‌هایی که افزونه مشخصی دارند

تنظیمات: یک فیلتر ردیف SQL SELECT که برای انتخاب داده ها هنگام فراخوانی ContentResolver استفاده می‌شود

فرمان: UpdateAllDeviceData

مسیر پیش‌فرض رخداد:/api/v1/AllRequest

شرح: ارسال داده در مورد دستگاه، اپ آلوده (نام پکیج و نسخه ایمپلنت جاسوسی) و قراردادها و اکانت‌های قربانی

فرمان: RecordSound

مسیر پیش‌فرض رخداد: /api/v1/UploadSmallFile

شرح: ضبط صدا از میکروفون

تنظیمات: ضبط به مدت چند ثانیه

فرمان: DeviceOtherData

مسیر پیش‌فرض رخداد: /api/v1/SaveResponseToFile

شرح: ارسال داده در مورد پیکربندی ایمپلنت جاسوسی

فرمان: ChangeMainDmain

شرح: تغییر سرورهای فرمان و کنترل

تنظیمات: آدرس جدید c&c

فرمان: Get_Compressed_File

مسیر پیش‌فرض رخداد: /api/v1/UploadFileWithContinue

شرح: ارسال فایل‌ها از ذخیره‌گاه خارجی به عنوان آرشیو زیپ

تنظیمات: لیستی از مسیرهایی که به فایل‌هایی برای آپلود ختم می‌شوند

همین پیام‌های ارسالی به سرور فرمان و کنترل بودند که توجه ما را به خود جلب کرد. همه آنها به زبان عربی بودند، که نشان می‌دهد توسعه دهنده به عربی نیز صحبت می‌کند.

چطور مودهای جاسوسی واتس‌اپ توزیع می‌شوند؟

پس از کشف ماژول‌های جاسوسی در مودهای واتس‌اپ، تصمیم گرفتیم نحوه انتشار آنها را دریابیم. تجزیه و تحلیل آمار،  تلگرام را به عنوان منبع اصلی مشخص کرد. ما تعدادی کانال تلگرامی پیدا کردیم که اکثرا به زبان‌های عربی و آذری بودند. فقط محبوب ترین آنها تقریباً دو میلیون مشترک داشت.  به تلگرام هشدار دادیم که از این کانال ها برای انتشار بدافزار استفاده می‌شود.

با مشاهده اینکه چگونه اجزای بدافزار بخشی از مود اصلی نیستند، چندین نسخه اخیر را بررسی و اولین نسخه آلوده را شناسایی کردیم. طبق یافته‌های ما، این نرم‌افزار جاسوسی از اواسط آگوست 2023 فعال بوده است. در زمان نگارش این مقاله، همه نسخه‌های منتشر شده در کانال‌ها از آن زمان حاوی بدافزار بودند. با این حال، بعداً (حدود 20 اکتبر، اگر بر اساس مُهرهای زمانی در APK قضاوت کنیم)، حداقل یکی از آخرین نسخه‌ها در حداقل یکی از کانال‌ها با نسخه پاک جایگزین شد.

جدا از کانال‌های تلگرامی، مودهای آلوده از طریق وبسایت‌های مختلف جعلی مربوط به مودهای واتس‌اپ توزیع شدند.

جغرافیای جاسوس‌افزار جدید واتس‌اپی

راهکارهای امنیت کسپرسکی بیش از 340 هزار حمله توسط مود جاسوسی واتس‌اپ را در بیش از صد کشور بین تاریخ 5 تا 31 اکتبر خنثی کرده است. هنوز اگر بخواهیم ماهیت کانال توزیع را در نظر بگیریم، آمار اصلی نصب‌ها می‌تواند بیشتر از اینها باشد. 5 کشور با بالاترین آمار حمله عبارتند از آذربایجان، عربستان سعودی، یمن، ترکیه و مصر.

نتیجه‌گیری

متأسفانه باید بگوییم تعداد مودهای اپ پیام‌رسان فوری حاوی کدهای بدافزاری رو به افزایش است. مودهای واتس‌اپی بیشتر از طریق فروشگاه‌های اپ اندروید طرف‌سوم توزیع می‌شوند که اغلب رویشان نظارتی نیست و نمی‌توانند با بدافزار مقابله کنند. برخی از این منابع مانند فروشگاه‌های اپ طرف‌سوم و کانال‌های تلگرامی محبوبیت زیادی دارند اما هیچ تضمینی برای امنیت‌شان نیست. برای جلوگیری از سرقت داده‌هایتان توصیه ما این است که فقط از کلاینت‌های پیام‌رسان فوری رسمی استفاده کنید. اگر هم به قابلیت‌های اضافی نیاز پیدا کردید از راهکار امنیتی مطمئن که بتواند در صورتی که مود آلوده بود، بدافزار را شناسایی و بلاک کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.