محققان امنیتی یک پویش بدافزاری تلفن همراه را کشف کردهاند که از آگوست سال ۲۰۱۵ میلادی فعال بوده و بر روی ۱۳ آیفون انتخابشده در هند جاسوسی میکرده است. محققان معتقدند که مهاجمان هندی، پروتکل مدیریت دستگاه تلفن همراه (MDM) را برای کنترل و گسترش از راه دور برنامههای مخرب مورد بهرهبرداری قرار دادهاند. MDM یک نوع نرمافزار امنیتی است که توسط شرکتهای بزرگ برای کنترل و اجرای سیاستها بر روی دستگاههای کارکنان خود، استفاده میشود.
استفاده از سرویس MDM اپل برای کنترل از راه دور دستگاهها
برای ثبتنام یک دستگاه iOS در سرویس MDM، نیاز است که کاربر بهصورت دستی گواهینامهی توسعهی سازمان که توسط برنامهی Developer Enterprise اپل توسعه یافت است، را نصب کنند. شرکتها میتوانند با استفاده از Apple Configurator و از طریق ایمیل یا یک صفحهی وب، فایل پیکربندی MDM را برای سرویس ثبتنام over-the-air ارائه دهند. هنگامیکه کاربر این فایل را نصب کرد، این سرویس به مدیران شرکت اجازه میدهد تا از راه دور دستگاه را کنترل کرده، برنامهها را نصب/ حذف کنند، گواهینامهها را نصب/ لغو کنند، دستگاه را قفل کرده، مقررات رمز عبور را تغییر دهند و غیره.
اپل درمورد MDM توضیح میدهد: «MDM از سرویس اطلاعرسانی اپل (APNS) برای ارسال یک پیام بیدارباش به یک دستگاه مدیریتشده استفاده میکند. سپس دستگاه برای بازیابی دستورات و بازگشت نتایج، به یک سرویس وب از پیش تعیینشده متصل میشود.» از آنجاییکه هر مرحله از فرآیند ثبتنام مانند نصب یک مجوز گواهینامه بر روی آیفون، به تعامل کاربر با کاربر نیاز دارد، هنوز مشخص نشده است که مهاجمان چگونه موفق به ثبت ۱۳ آیفون هدف در سرویس MDM خود شدهاند. با این حال، محققان سیسکو تالوس که این کمپین را کشف کردهاند، بر این باورند که مهاجمان احتمالا از یک سازوکار مهندسی اجتماعی، مانند یک تماس پشتیبانی جعلی، و یا دسترسی فیزیکی به دستگاههای هدف استفاده کردهاند.
جاسوسی از طریق برنامههای آسیبدیدهی تلگرام و واتساپ
به گفتهی محققان، مهاجمان از سرویس MDM برای نصب از راه دور نسخههای اصلاح شدهی برنامههای قانونی بر روی آیفونهای هدف استفاده میکنند. نسخههای تغییریافتهی برنامهها برای جاسوسی مخفیانه بر روی کاربران، سرقت موقعیت بلادرنگ آنها، مخاطبان، تصاویر، پیامهای کوتاه و پیامهای خصوصی از طریق برنامههای پیامرسان طراحی شدهاند.
مهاجم برای افزودن ویژگیهای مخرب به برنامههای پیامرسان ایمن مانند تلگرام و واتساپ، از روش «BOptions sideloading» استفاده میکند. این روش به مهاجم اجازه میدهد که یک کتابخانهی پویا را به برنامههای قانونی تزریق نماید. محققان توضیح میدهند: «مهاجم میتواند با تزریق کتابخانه مجوزهای بیشتری را درخواست کند، کد را اجرا کرده و اطلاعات را همراه با چیزهای دیگر، از برنامههای اصلی سرقت نماید.»
بدافزار تزریقشده به نسخههای آسیبدیدهی برنامههای تلگرام و واتساپ، برای ارسال مخاطبان، موقعیت مکانی و تصاویر از دستگاه آسیبدیده به یک سرور راه دور به آدرس hxxp[:]//techwach[.]com طراحی شدهاند. محققان گفتند: «تالوس یک برنامهی قانونی دیگر را که در مدت این پویش در هند اجرا شده بود، شناسایی کرده است. این برنامه که PrayTime نام دارد، برای اطلاع دادن زمان دعا به کاربر استفاده میشود. هدف، دانلود و نمایش تبلیغات خاص به کاربر است. این برنامه، چارچوبهای خصوصی را برای خواندن پیامهای کوتاه بر روی دستگاه و ارسال آنها به یک سرور C2 بهکار میگیرد.»
درحال حاضر، هنوز مشخص نیست که چه کسی پشت این پویش قرار دارد، هدف این پویش چه کسانی است و انگیزههای این حمله چه بوده است، اما محققان شواهدی دارند که نشان میدهد مهاجمان اهل هند هستند، درحالیکه مهاجمان با استفاده از یک پرچم دروغین، خود را روسی نشان میدهند. محققان تالوس گفتند: «بهدلیل تعداد کم دستگاههای آسیبدیده، مهاجمان طی یک دورهی ۳ ساله تحت کنترل بودند. ما متوجه شدیم که دستگاههای آزمایشی ثبتشده در سرویس MDM، با یک شمارهی تلفن هندی و بر روی یک ارائهدهندی هندی در این سرویس ثبتنام کردهاند. تمام جزئیات فنی به یک عامل تهدیدکننده اشاره دارد: هند!» اپل پیش از گزارش این پویش، ۳ گواهینامهی مرتبط با این پویش را لغو کرده بود و پس از مطلع شدن توسط گروه تالوس، ۲ گواهینامهی دیگر را نیز لغو کرد.
منبع