روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ جاسوس‌افزار ابزاریست خطرناک که می‌تواند برای نظارتِ گزیشنیِ برخی قربانیان مورد استفاده قرار گیرد. اغلب این قربانیان کارمندان یک شرکت یا ساکنین یک شهر یا کشورند. جاسوس‌افزار موبایل جدید که ما کشفش کردیم و نام LianSpy را برایش گذاشتیم در حال حاضر کاربران اسمارت‌فون‌های اندرویدی در روسیه را هدف قرار داده است اما رویکردهای غیرقراردادی‌ای که به کار می‌برد باعث می‌شود بالقوه در سایر مناطق نیز استفاده شود. در ادامه با ما همراه شوید تا توضیح دهیم این جاسوس‌افزار چه ساز و کاری دارد و چطور باید در برابر تهدیدهای آن در امان ماند.

LianSpy چیست؟

ما  LianSpy را در مارس 2024 کشف کردیم. با این حال داده‌هایمان نشان می‌دهد دست کم سه سالی می‌شود که فعال است (تاریخ پیدایشش به جولای 2021 برمی‌گردد!). چطور  LianSpy این همه مدت در سایه، فعالیت داشته؟ مهاجمین با دقت تمام این رد و آثار را پاک می‌کنند. از زمان لانچ، این بدافزار آیکون خودش را روی هوم‌اسکرین پنهان کرده و با استفاده از مزایای ریشه‌ای در پس‌زمینه عمل می‌کند. این اجازه می‌دهد نوتیف‌های نوار وضعیت اندروید –که معمولاً به قربانی هشدار می‌دهد اسمارت‌فون دارد فعالانه از دوربین یا میکروفون استفاده می‌کند- دور زده شود. LianSpy خود را زیر پوشش اپ‌های سیستم و سرویس‌های مالی قرار می‌دهد. جالب است بدانید که مهاجمین به داده‌های بانکی قربانیان کاری ندارند. این جاسوس‌افزار در خاموشی و به طور مخفیانه با رهگیری لاگ‌های تماس، ارسال فهرستی از اپ‌های نصب‌شده روی سرور مهاجم و ضبط اسکرین اسمارت‌فون (عمدتاً در طول فعالیت مسنجر) فعالیت کاربر را تحت نظارت قرار می‌دهد.

ساز و کار LianSpy

بر خلاف سایر جاسوس‌افزارها که از آسیب‌پذیری‌های صفر کلیک بهره می‌جویند، LianSpy نیازمند برخی فعالیت‌ها از سمت قربانی است. با لانچ، این بدافزار بررسی می‌کند آیا مجوزهای لازم را برای خواندن کانتکت‌ها و لاگ‌های تماسی دارد یا نه و بعد از پوشش‌ها استفاده می‌کند. اگر نه، پس به آن مجوزها نیاز دارد. وقتی این کار انجام شد، برای دریافت اطلاعات در مورد رخدادهای سیستم، یک گیرنده برادکست اندرویدی رجیستر می‌کند که باعث می‌شود تسک‌های مختلف مخرب یا آغاز شوند و یا پایان گیرند. LianSpy به طور غیرقراردادی‌ای از مزایای ریشه‌ای استفاده می‌کند. معمولاً آن‌ها برای کنترل کامل روی دستگاه استفاده می شوند. با این حال در مورد پرونده LianSpy، مهاجمین تنها از بخش کوچکی از قابلیت موجود برای ابرکاربران بهره می‌برد. جالب است که مزایای ریشه‌ای برای جلوگیری از شناسایی توسط راهکارهای امنیتی چنین استفاده‌ای ازشان می‌شود. LianSpy یک تروجان پسا اکسپلویتی است؛ بدین‌معنا که مهاجمین یا برای روت دستگاه‌های اندرویدی آسیب‌پذیری‌ها را اکسپلویت نموده و یا سفت‌افزار را با داشتن دسترسی فیزیکی به دستگاه‌های قربانی دستکاری می‌کنند. هنوز معلوم نیست کدام آسیب‌پذیری را مهاجمین در سناریوی قبلی اکسپلویت کرده‌اند. قابلیت دیگر LianSpy استفاده ترکیبی آن از رمزگذاری متقارن (یک کلید برای اطلاعات رمزگذاری و رمزگشایی) و غیرمتقارن (کلیدهای مجزای عمومی و خصوصی) است. داده‌ها قبل از سرقت شدن با الگوریتم متقارن رمزگذاری می‌شوند؛ که کلید مخصوص آن به طور غیرمتقارن رمزگذاری می‌شود. فقط مهاجم کلید خصوصی را دارد.

و دست‌های پشت پرده LianSpy

سوال خوبیست. مهاجمین تنها از سرویس‌های عمومی استفاده می‌کنند و نه زیرساخت خصوصی که همین تعیین قطعی اینکه کدام گروه هکری پشت حملات به کاربران اسمارت‌فون اندرویدی در روسیه است را سخت می‌کند. هویت عقل کل این گروه این معلوم نیست و آنچه نمایش‌های جهانی نشان داده‌اند، انگار چنین کمپین‌های جاسوسی پیچیده‌ای اغلب توسط گروه‌هایی وابسته به عامل درون‌کشوری تحریک می‌شوند.

راهکارهای امنیتی

•         برنامه‌ها را فقط از فروشگاه‌ها و کاتالوگ‌های رسمی دانلود کنید، اما به خاطر داشته باشید که نرم‌افزارهای جاسوسی می‌توانند حتی در آن‌ها نیز نفوذ کنند.
•         سیستم عامل خود را به طور منظم به روز کنید - همه بدافزارها نمی‌توانند با ویژگی‌های امنیتی جدید سازگار شوند.
•         از برنامه‌های معروف توسعه دهندگان مورد اعتماد استفاده کنید. از مشتریان جایگزین برای پیام‌رسان‌های فوری و سایر خدمات خودداری کنید، زیرا ممکن است حاوی کدهای مخرب باشند (در مورد حالت‌های جاسوس‌افزار برای WhatsApp، Telegram و Signal بیشتر بخوانید).
•         از Kaspersky: Antivirus & VPN برای شناسایی به موقع نرم افزارهای جاسوسی مانند LianSpy استفاده کنید.
•         اگر هنوز محافظت قابل اعتمادی ندارید، از TinyCheck، یک ابزار تشخیص نرم افزارهای جاسوسی استفاده کنید.
•         فقط به برنامه‌ها مجوزهایی را که برای کارکرد نیاز دارند اعطا کنید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.