توزیع مود جاسوسِ واتس‌اپ از طریق تلگرام و میان کاربران عرب‌زبان

16 آبان 1402 توزیع مود جاسوسِ واتس‌اپ از طریق تلگرام و میان کاربران عرب‌زبان

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اینکه کاربران سرویس‌های پیام‌رسان فوریِ محبوب، اپ‌های کلاینت رسمی خود را ناکارامد بیایند کم پیش نمی‌آید. توسعه‌دهندگان طرف‌سوم برای پرداختن به این معضل دست به ساخت مودهای می‌زنند که علاوه بر آپگریدهای زیبایی‌شناختی، قابلیت‌هایی را که مدت‌ها بود همه دنبالش بودند نیز ارائه می‌دهند. متأسفانه برخی از این مودها در کنار ارتقای قانونی حاوی بدافزار نیز هستند. نمونه‌اش موردی که سال گذشته کشف کردیم: تروجانی به نام تریادا در مود واتس اپ. اخیراً هم مود تلگرامی را که در خود ماژول جاساز جاسوس داشته شرح دادیم که ازطریق گوگل‌پلی توزیع شده بود. همین داستان اکنون برای واتس‌اپ اتفاق افتاده: چند مود که پیشتر بی‌ضرر بودند اکنون کاشف بعمل آمده حاوی ماژول جاسوس هستند و ما آن را به عنوان Trojan-Spy.AndroidOS.CanesSpy شناسایی کردیم. گفته می‌شود این مود جاسوس که در واتس‌اپ جاسازشده از طریق تلگرام و میان کاربران عرب‌زبان در حال توزیع است. با ما همراه بمانید.

ساز و کار این ماژول جاسوسی

ما برای اینکه نشان دهیم ماژول‌های جاسوسی چطور کار می‌کنند از نمونه 80d7f95b7231cc857b331a993184499d استفاده خواهیم کرد.

این مانیفست کلاینت تروجان‌زده حاوی اجزای مشکوکی (یک سرویس و یک گیرنده برادکست) است که نمی‌تواند در کلاینت اورجینال واتس‌اپ پیدا شود. دریافت‌کننده برادکست از سیستم و سایر اپ‌ها برادکست‌ها را گوش می‌دهد؛ مثل زمانیکه گوشی شروع به شارژ شدن می‌کند یا، پیام متنی دریافت می‌شود یا دانلودری کار دنلودش به اتمام می‌رسد. وقتی دریافت‌کننده پیامی این‌چنینی دریافت می‌کند به مدیر رخداد زنگ می‌زند. در مود جاسوس واتس‌اپ، دریافت‌کننده سرویسی را اجرا می‌کند که وقتی گوشی روشن شده یا شروع به شارژ شدن می‌کند، ماژول جاسوس لانچ می‌شود.

هنگامی که ایمپلنت مخرب شروع شد، یک درخواست POST حاوی اطلاعات مربوط به دستگاه را در مسیر /api/v1/AllRequest به سرور اپراتور تهدید ارسال می‌کند. اطلاعات شامل IMEI، شماره تلفن، کد کشور تلفن همراه، کد شبکه تلفن همراه و غیره می‌شود. تروجان همچنین جزئیات پیکربندی، مانند مسیرهای آپلود انواع مختلف داده، فواصل بین درخواست‌ها به C&C و غیره را درخواست می‌کند. علاوه بر این، ماژول اطلاعات مربوط به مخاطبین و حساب های قربانی را هر پنج دقیقه ارسال می‌کند.

پس از آپلود موفقیت‌آمیز اطلاعات دستگاه، بدافزار شروع به درخواست دستورات از C&C می‌کند که توسعه‌دهندگان آن را "سفارش" می نامند، در فواصل از پیش تنظیم شده (به طور پیش فرض یک دقیقه). جدول زیر حاوی توضیحات مفصلی از دستورات و مسیرهایی است که بدافزار برای ارسال پاسخ ها به سرور استفاده می‌کند.

فرمان: GET_FILE

مسیر پیش‌فرض واکنش: /api/v1/UploadFileWithContinue

شرح: ارسال یک فایل از حافظه خارجی (مموری خارج از سیستم یا مدیوم قابل‌جابجایی مانند کارت اس‌دی) به عنوان آرشیو زیپ

تنظیمات: مسیر فایل روی دستگاه قربانی

 

فرمان: UploadFileWithQuery

مسیر پیش‌فرض واکنش: /api/v1/UploadFileWithContinue

شرح: ارسال فایل‌ها از ذخیره‌گاه خارجی که فیلتر بخصوصی را به عنوان آرشیو زیپ هماهنگ می‌کند.

تنظیمات: یک فیلتر ردیف SQL SELECT استفاده‌شده برای انتخاب داده موقع فراخوانی  ContentResolver (این دسته‌بندی برای دسترسی به فایل روی دستگاه‌های اندروید استفاده شده)

 

فرمان: GetAllFileList

مسیر پیش‌فرض واکنش: /api/v1/SaveFileNames

شرح: ارسال مسیرها به همه فایل‌های ذخیره‌گاه خارجی

 

فرمان: GET_SPEC_FILE_TYPE

مسیر واکنش به رخداد: /api/v1/SaveFileNames

شرح: ارسال نام فایل‌هایی که افزونه مشخصی دارند

تنظیمات: یک فیلتر ردیف SQL SELECT که برای انتخاب داده ها هنگام فراخوانی ContentResolver استفاده می‌شود

 

فرمان: UpdateAllDeviceData

مسیر پیش‌فرض رخداد:/api/v1/AllRequest

شرح: ارسال داده در مورد دستگاه، اپ آلوده (نام پکیج و نسخه ایمپلنت جاسوسی) و قراردادها و اکانت‌های قربانی

 

فرمان: RecordSound

مسیر پیش‌فرض رخداد: /api/v1/UploadSmallFile

شرح: ضبط صدا از میکروفون

تنظیمات: ضبط به مدت چند ثانیه

 

فرمان: DeviceOtherData

مسیر پیش‌فرض رخداد: /api/v1/SaveResponseToFile

شرح: ارسال داده در مورد پیکربندی ایمپلنت جاسوسی

 

فرمان: ChangeMainDmain

شرح: تغییر سرورهای فرمان و کنترل

تنظیمات: آدرس جدید c&c

 

فرمان: Get_Compressed_File

مسیر پیش‌فرض رخداد: /api/v1/UploadFileWithContinue

شرح: ارسال فایل‌ها از ذخیره‌گاه خارجی به عنوان آرشیو زیپ

تنظیمات: لیستی از مسیرهایی که به فایل‌هایی برای آپلود ختم می‌شوند

 

همین پیام‌های ارسالی به سرور فرمان و کنترل بودند که توجه ما را به خود جلب کرد. همه آنها به زبان عربی بودند، که نشان می‌دهد توسعه دهنده به عربی نیز صحبت می‌کند.

چطور مودهای جاسوسی واتس‌اپ توزیع می‌شوند؟

پس از کشف ماژول‌های جاسوسی در مودهای واتس‌اپ، تصمیم گرفتیم نحوه انتشار آنها را دریابیم. تجزیه و تحلیل آمار،  تلگرام را به عنوان منبع اصلی مشخص کرد. ما تعدادی کانال تلگرامی پیدا کردیم که اکثرا به زبان‌های عربی و آذری بودند. فقط محبوب ترین آنها تقریباً دو میلیون مشترک داشت.  به تلگرام هشدار دادیم که از این کانال ها برای انتشار بدافزار استفاده می‌شود.

با مشاهده اینکه چگونه اجزای بدافزار بخشی از مود اصلی نیستند، چندین نسخه اخیر را بررسی و اولین نسخه آلوده را شناسایی کردیم. طبق یافته‌های ما، این نرم‌افزار جاسوسی از اواسط آگوست 2023 فعال بوده است. در زمان نگارش این مقاله، همه نسخه‌های منتشر شده در کانال‌ها از آن زمان حاوی بدافزار بودند. با این حال، بعداً (حدود 20 اکتبر، اگر بر اساس مُهرهای زمانی در APK قضاوت کنیم)، حداقل یکی از آخرین نسخه‌ها در حداقل یکی از کانال‌ها با نسخه پاک جایگزین شد.

جدا از کانال‌های تلگرامی، مودهای آلوده از طریق وبسایت‌های مختلف جعلی مربوط به مودهای واتس‌اپ توزیع شدند.

جغرافیای جاسوس‌افزار جدید واتس‌اپی

راهکارهای امنیت کسپرسکی بیش از 340 هزار حمله توسط مود جاسوسی واتس‌اپ را در بیش از صد کشور بین تاریخ 5 تا 31 اکتبر خنثی کرده است. هنوز اگر بخواهیم ماهیت کانال توزیع را در نظر بگیریم، آمار اصلی نصب‌ها می‌تواند بیشتر از اینها باشد. 5 کشور با بالاترین آمار حمله عبارتند از آذربایجان، عربستان سعودی، یمن، ترکیه و مصر.

نتیجه‌گیری

متأسفانه باید بگوییم تعداد مودهای اپ پیام‌رسان فوری حاوی کدهای بدافزاری رو به افزایش است. مودهای واتس‌اپی بیشتر از طریق فروشگاه‌های اپ اندروید طرف‌سوم توزیع می‌شوند که اغلب رویشان نظارتی نیست و نمی‌توانند با بدافزار مقابله کنند. برخی از این منابع مانند فروشگاه‌های اپ طرف‌سوم و کانال‌های تلگرامی محبوبیت زیادی دارند اما هیچ تضمینی برای امنیت‌شان نیست. برای جلوگیری از سرقت داده‌هایتان توصیه ما این است که فقط از کلاینت‌های پیام‌رسان فوری رسمی استفاده کنید. اگر هم به قابلیت‌های اضافی نیاز پیدا کردید از راهکار امنیتی مطمئن که بتواند در صورتی که مود آلوده بود، بدافزار را شناسایی و بلاک کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد