بدافزار WolfRAT واتس‌اپ و فیسبوک مسنجر را مورد هدف قرار می‌دهد

31 اردیبهشت 1399 بدافزار WolfRAT واتس‌اپ و فیسبوک مسنجر را مورد هدف قرار می‌دهد

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بدافزار اندرویدی جدیدی کشف شده است که تنها اپ‌های پیام‌رسانی محبوب همچون واتس‌اپ و فیسبوک مسنجر را مورد هدف قرار می‌دهد تا بدین‌ترتیب اطلاعات قربانیان اندرویدی را جمع‌آوری کند. نام این بدافزار WolfRAT بوده و تحت توسعه است. این بدافزار اخیراً در کمپین‌هایی که هدفشان کاربران تایلندی بوده مورد شناسایی قرار گرفته است. محققین با اعتماد بالا چنین ارزیابی می‌کنند که این بدافزار توسط Wolf Research–سازمان فعال در حوزه جاسوس‌افزار واقع در آلمان که کارش توسعه و فروش بدافزارهای مبتنی بر جاسوسی به دولت‌هاست- اداره می‌شود. در ادامه با ما همراه شوید تا مبسوط به ساز و کار این بدافزار بپردازیم.

وارن مرسر، پاول راسکاگنرس و ویتور ونتورا محققین تیم Cisco Talos در تحلیل روز سه‌شنبه اینطور توضیح دادند: «جزئیات چت، سوابق واتس‌اپ، مسنجرها و اس‌ام‌اس‌های جهان حاوی اطلاعات مهم و حساسند و افراد اغلب این نکته را حین تعاملات خود با گوشی‌شان پشت گوش می‌اندازند. ما شاهدیم که WolfRAT به طور خاص دارد اپ پیام‌رسان بسیار محبوب و رمزگذاری‌شده‌ در آسیا یعنی لاین را مورد هدف قرار می‌دهد؛ چیزی که نشان می‌دهد حتی کاربر حواس‌جمع هنوز می‌تواند قربانی WolfRAT باشد».

وارن مرسر، مدیر بخش فنی Cisco Talos معنقد است بردار آلودگی از طریق لینک‌های فیشینگ/اسمیشینگ[1] ارسال‌شده به دستگاه کاربران بوده است. محققین پی بردند که دامنه سرور فرمان و کنترل (C2) واقع در تایلند بوده و حاوی ارجاعاتی به غذای تایلندی می‌باشد (سر نخ‌هایی در مورد این تله‌ی احتمالی می‌دهد).

کمپین

WolfRAT وقتی دانلود شد با استفاده از آیکون‌ها و نام‌های پک به خود ظاهر یک سرویس قانونی را مانند گوگل‌پلی یا آپدیت‌های فلش می‌دهد. مرسر می‌گوید اینها بسته‌های کاربردی و معمول هستند که هیچ تعامل کاربری برایشان لازم نیست. بعنوان مثال، این بدافزار از نام بسته (com.google.services) برای اینکه وانمود کند اپ گوگل‌پلی است استفاده می‌کند. مرسر در ادامه چنین می‌گوید: «این نام آنقدری آشنا هست که یک کاربر معمولی فکر بکند مربوط به گوگل است و حتماً بخش لازمی برای سیستم عامل اندروید به حساب می‌آید. اگر کاربر روی آیکون اپ فشار دهد فقط اطلاعات کلی اپ گوگل را که توسط نویسندگان این بدافزار تزریق شده است مشاهده خواهند کرد. این کار برای این است که مطمئن شوند اپ توسط قربانی uninstall نشده است».

محققین با تحقیق بیشتر روی خود WolfRAT متوجه شدند که RAT مبتنی بر بدافزاری موسوم به DenDroid است که پیشتر نشت داده شده بود. DenDroid در سال 2014 کشف شد و در حقیقت یک بدافزار اندرویدی ساده حاوی فرمان‌های جاسوس‌محور برای گرفتن عکس و ویدیو، ضبط صدا و آپلود عکس است. محققین دست‌کم چهار عرضه‌ی بزرگ از WolfRAT را شناسایی کردند و می‌گویند این بدافزار شدیداً تحت توسعه می‌باشد. به لحاظ تایم‌لاین هم محققین نمونه‌هایی را مشاهده کرده‌اند که نشان‌دهنده‌ی فعالیت از ژانویه 2019 هستند؛ با این حال به نقل از مرسر یکی از دامنه‌های C2 در سال 2017 رجیستر شده بود. این نسخه‌ها از خود قابلیت‌های مختلفی نشان دادند؛ از جمله قابلیت ثبت نمایشگر. محققین در طول تحلیلشان روی نمونه‌های اولیه‌ متوجه شدند این قابلیت هرگز توسط این بدافزار استفاده نشده است؛ با این حال در نمونه‌های بعدی ثبت نمایشگر وقتی RAT تعیین کرد واتس‌اپ در حال اجراست شروع به کار نمود.

نسخه‌های بعدی این بدافزار همچنین مجوزهای مختلفی هم داشتند که ACCESS_SUPERUSER و DEVICE_ADMIN درخواست می‌دادند؛ هر دو این مجوزها از نمونه روش‌های رسیدن به به حقوق ممتاز دسترسی روی دستگاه قربانی هستند. مرسر افزود، مجوز دیگری که افزوده شد READ_FRAME_BUFFER است؛ مهمترین API استفاده‌شده در این بخش. زیرا این مجوز می‌تواند توسط یک اپ برای دسترسی به اسکرین‌شات‌های نمایشگر دستگاه فعلی مورد استفاده قرار گیرد (یعنی واتس‌اپ). مضاف بر این قابلیت، نسخه‌های بعدی این بدافزار فعالیت‌های فیسبوک مسنجر، واتس‌اپ و لاین را زیر نظر گرفتند. وقتی این اپ‌ها باز می‌شوند، بدافزار مذکور اسکرین‌شات‌هایی گرفته و آن‌ها را در C2 آپلود می‌کند. محققین به این موضوع اشاره کردند که حذف و اضافه کردن پیوسته‌ی بسته‌ها به همراه مقادیر زیادی کد استفاده‌نشده و به کار بردن تکنیک‌های قدیمی قبیح نشان‌دهنده‌ی متودولوژی ناشی‌گرانه‌ی توسعه است. محققن می‌گویند: «این عامل به شدت ناشی‌گرانه عمل کرده است: هم‌پوشانی‌هایی با کد، کپی/پیست‌های منبع‌باز، بسته‌های ناپایدار و پنل‌هایی که آزادانه باز هستند».

لینک‌های Wolf Research

محققین بعد از شناسایی همپوشانی زیرساخت و ارجاعات رشته (از پیش استفاده‌شده توسط این گروه) این کمپین را به Wolf Research منتسب کردند. این سازمان ظاهراً بسته شده اما عوامل تهدید هنوز فعالند. محققین بر این باورند که مدیران این بدافزار دارند با پوشش سازمانی جدید به نام LokD همچنان به فعالیت خود ادامه می‌دهند. در وبسایت این سازمان، مدیران برای تست محصولات خود آسیب‌پذیری‌های روز صفر توسعه می‌دهند.

به نقل از محققین: «با این حال، به لطف زیرساخت مشترک و نام‌های فراموش‌شده‌ی پنل ما می‌توانیم تضمین دهیم این عامل هنوز در حال فعالیت است و هنوز هم دارد این بدافزار را توسعه می‌دهد. در واقع از این بدافزار از اوسال ماه ژوئن تا به امروز دارد استفاده می‌شود. روی پنل C2 ما متوجه ارتباطی احتمالی بین Wolf Research و سازمان دیگری تحت عنوان Coralco Tech شده‌ایم. این سازمان نیز فعالیتش فناوری رهگیری است».

 

[1] به فیشینگ اس‌ام‌اس گفته می‌شود.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    7,085,250 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    2,360,250 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    4,723,875 ریال9,447,750 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    3,541,500 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    3,541,500 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    4,722,750 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    8,505,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد