روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برای مسنجرهای محبوب مانند تلگرام، سیگنال و واتس‌اپ، تعداد زیادی کلاینت‌ جایگزین وجود دارد (البته این کلاینت‌ها نباید با مشتریان انسان اشتباه گرفته شوند). چنین اپ‌های اصلاح‌شده‌ای را اصطلاحاً مود (mod) می‌گویند و اغلب قابلیت‌ها و ویژگی‌هایی را ارائه می‌دهند که در کلاینت‌های رسمی وجود ندارد. گرچه واتس‌اپ مودها را تأیید نمی‌کند –به طور دوره‌ای آن‌ها را از فروشگاه‌های رسمی اپ منع می‌کند- اما در عوض تلگرام نه تنها هیچ سر جنگی با کلاینت‌های جایگزین ندارد که حتی همواره ساخت آن‌ها را تشویق هم می‌کند و برای همین است که مودهای تلگرامی مثل قارچ سبز شده‌اند. حال سوال این است که آیا این مودها تلگرامی امن هستند؟ در ادامه همراه‌ باشید تا جواب این سوال را بدهیم.

افسوس مطالعات اخیر نشان داده باید با مودهای مسنجر با احتیاط رفتار کرد. گرچه بیشتر کاربران هنوز کورکورانه به هر اپی که روی گوگل پلی اعتبارسنجی و نشر شده اعتماد می‌کنند اما ما مدام تأکید کرده‌ایم که خطراتی نیز وجود دارد: موقع دانلود اپ روی گوگل‌پلی، همچنین می‌توانید تروجان، بک‌در، سابسکرایبر آلوده و یا کلی موارد آلوده دیگر هم بردارید (همانی که بیش از 100 میلیون دانلود داشته!).

تازگی‌ها: نسخه آلوده‌ی تلگرام چینی‌ها به نام Uyghur روی گوگل‌پلی

بگذارید با قصه‌ای تازه شروع کنیم. متخصصین ما چندین اپ آلوده را رو گوگل‌پلی شناسایی کردند که خود را جای نسخه چینی و سنتی تلگرام به نام Uyghur زده بودند. شرح جزئیات اپ به زبان‌های مربوطه نوشته شده بود و بسیار به آن‌هایی که در صفحه رسمی تلگرام روی گوگل‌پلی بود شباهت داشت. برای متقاعد کردن کاربران برای دانلود این مودها به جای برنامه رسمی، توسعه دهنده ادعا می‌کند که به لطف شبکه توزیع شده مراکز داده در سراسر جهان، آنها سریعتر از سایر مشتریان کار می‌کنند.

در نگاه اول، این اپ‌ها به نظر شبیه‌سازی‌های تمام عیار تلگرامی هستند با رابطی عمومی. همه‌چیز تقریباً واقعی به نظر می‌رسد. اما ما کد را عمیقاً بررسی کردیم و دیدم این اپ‌ها نسخه‌های دستکاری‌شده‌ی تلگرام اصلی هستند. و چیزی که مدراتورهای گوگل‌پلی از آن غافل ماندند این بود: نسخه‌های آلوده ماژول اضافی در خود جای داده‌اند. این ماژول هموازه آنچه در پیام‌رسان رخ می‌دهد را نظارت کرده و کلی داده را به سرور c&c سازندگان جاسوس‌افزار ارسال می‌کند: همه تماس‌ها، پیام‌های ارسالی و دریافتی با فایل‌های پیوستی، اسم چت‌ها/کانال‌ها، نام و شماره تلفن دارنده اکانت (در اصل مکاتبه کامل کاربر). حتی اگر کاربر نام یا شماره تلفن کاربر را هم تغییر دهد این اطلاعات همچنین به مهاجمین هم فرستاده می‌شود.

برای قبل: نسخه‌های جاسوس‌افزار تلگرام و سیگنال روی گوگل‌پلی

جالب است بدانید، کمی پیش محققین ESET نسخه جاسوس‌افزاری دیگری از تلگرام را به نام  FlyGram کشف کردند. درست است که این یکی حتی تلاش نداشت وانمود کند نسخه رسمی تلگرام است اما در عوض خود را جای یکی از کلاینت‌های جایگزین زده بود (یعنی مود تلگرام) و بدین‌ترتیب نه تنها پایش به گوگل‌پلی باز شده بود که سر و کله‌اش در سامسونگ گلکسی استور نیز پیدا شده بود. جالب‌ت اینکه سازندگان آن خود را به تقلید از تلگرام هم محدود نکرده بودند. آن‌ها همچنین نسخه آلوده‌ای از سیگنال را تحت عنوان مسنجر سیگنال پلاس نیز در فروشگاه‌های مذکور نشر دادند و برای دادن جلوه‌ی مطمئن‌تر به کار خود حتی آنقدری پیش رفتند که وبسایت‌های flygram[.]org و signalplus[.]org را هم برای اپ‌های فیک خود ترتیب دادند.

این اپ‌ها از داخل تبدیل به مسنجرهای واقعی تلگرام و سیگنال شده بودند که کد منبع‌شان آغشته به افزونه‌ای مخرب بود. از این رو  FlyGram یاد گرفته بود تماس‌ها، تاریخچه تماس، فهرستی از اکانت‌های گوگل و سایر اطلاعات اسمارت‌فون کاربر را به عنوان کپی بک‌آپ مکاتبات که باید در سرور مهاجم ذخیره شوند سرقت کند (اگرچه این گزینه باید در مسنجر اصلاحی به طور مستقل از سوی کاربر فعال شود). در مورد Signal Plus این رویکرد کمی متفاوت بود. بدافزار مقدار معینی از اطلاعات را مستقیماً از تلفن هوشمند قربانی حذف می‌کرد و به مهاجمان اجازه می‌داد بدون توجه به دستگاه‌های خود وارد حساب سیگنال قربانی شوند و پس از آن می‌توانستند تمام مکاتبات را تقریباً در زمان واقعی بخوانند. FlyGram در جولای 2020 در Google Play ظاهر شد و تا ژانویه 2021 بر قوت خود باقی بود، درحالیکه سیگنال پلاس در ژوئیه 2022 در فروشگاه‌های اپ منتشر و تازه در می 2023 از Google Play حذف شد. در Samsung Galaxy Store، طبق BleepingComputer، هر دو برنامه همچنان در پایان آگوست 2023 در دسترس بودند. حتی اگر اکنون تماماً از این فروشگاه‌ها پاک شده باشند هم باز این سوال باقی می‌ماند که چند کاربر ناآگاه هنوز دارند از این مودهای مسنجر سریع و آسان که همه پیام‌هایشان را دو دستی تقدیم مجرمان سایبری می‌کنند استفاده می‌کنند؟!

واتس اپ و تلگرام آلوده، آدرس‌های کریپتو والت را جعل می‌کنند

چند ماه پیش همین محققین امنیتی مذکور چند نسخه تروجان‌زده از واتس‌اپ و تلگرام را پیدا کردند که عمدتاض هدفشان سرقت رمزارز بود. آن‌ها کارشان جعل آدرس‌های کیف‌پول در پیام‌ها برای رهگیری انتقال‌های دریافتی بود. افزون بر این، برخی نسخه‌های پیدا‌شده برای سرچ اسکرین‌شات‌های ذخیره‌شده در مموری اسمارت‌فون مخصوص عبارات بازیابی (مجموعه‌ای از کد واژه‌ها که می‌توانند برای دسترسی کامل به کریپتو والت و بعد از خالی کردن آن‌ استفاده شوند) از تشخیص تصویر استفاده کرده بودند. برخی از اپ‌های فیک تلگرامی داده‌های پروفایل کاربر را که در کلود تلگرام ذخیره شده بود سرقت کردند: فایل‌های پیکربندی، شماره تلفن‌ها، تماس‌ها، پیام‌ها، فایل‌های ارسالی دریافتی و غیره. در اصل آن‌ها همه داده‌های کاربری را برای چت‌های محرمانه ساخته‌شده روی سایر دستگاه‌ها استفاده کردند.همه این اپ‌ها نه تنها در گوگل‌پلی توزیع شدند که از طریق انواعی از سایت‌های فیک و کانال‌های جعلی یوتیوب هم پخش گشتند.

راهکارهای امنیتی

و در آخر، چند توصیه برای ایمن ماندن از گزند نسخه‌های آلوده مسنجرهای محبوب و نیز سایر تهدیدهایی که کاربران اندرویدی را هدف قرار می‌دهند:

•         آنطور که پیداست حتی گوگل‌پلی هم از گزند بدافزارها مصون نیست. با این همه شاید فروشگاه‌های رسمی هنوز هم در مقایسه با منابع دیگر امن‌ترین جا برای دانلود و نصب اپ‌ها باشند.
•         آنطور که در این مقاله شفاف‌سازی شد، باید با کلاینت‌های جایگزین مخصوص مسنجرهای محبوب با احتیاط رفتار کرد. منبع باز به هر کسی اجازه می‌دهد دست به ساخت مود بزنند و آن‌ها را پر کنند از غافلگیری‌های مخرب!
•         پیش از نصب حتی رسمی‌ترین اپ از رسمی‌ترین فروشگاه، به دقت به پیج آن نگاه کرده و مطمئن شوید واقعی است. نه تنها به نام آن دقت کرده که همچنین حواستان به توسعه‌دهنده آن نیز باشد. مجرمان سایبری اغلب سعی دارند با شبیه‌سازی کردن اپ‌ها با شرحیاتی شبیه به نسخه‌های اورجینال، کاربران را فریب دهند.
•         ایده خوبیست که دیدگاه‌های منفی کاربران را نیز بخوانید- اگر مشکلی در مورد اپ وجود داشته باشد به احتمال زیاد کسی از قبل به آن برخورده و در موردش در قسمت دیدگاه‌ها نوشته و حرف زده.
•         مطمئن شوید روی همه دستگاه‌های اندرویدی خود که اگر بدافزاری سعی داشته باشد رخنه کند به شما هشدار داده خواهد شد محافظتی قابل‌اطمینان نصب کنید.
•         اگر نسخه رایگان کسپرسکی را استفاده می‌کنید (آنتی‌ویروس و وی‌پی‌ان) یادتان باشد به طور دستی بعد از نصب و پیش از اجرای هر اپ برای اولین بار دستگاه خود را اسکن کنید.
•         اسکن تهدید خود را در نسخه کامل راهکار امنیتی ما برای اندروید انجام می‌شود. این اسکن در Kaspersky Standard، Kaspersky Plus و طرح‌های اشتراکی Kaspersky Premium گنجانده شده است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.