نفوذگران از راه‌حل مخرب MDM، برای جاسوسی از کاربران آیفون استفاده می‌کنند

 

محققان امنیتی یک پویش بدافزاری تلفن همراه را کشف کرده‌اند که از آگوست سال ۲۰۱۵ میلادی فعال بوده و بر روی ۱۳ آیفون انتخاب‌شده در هند جاسوسی می‌کرده است. محققان معتقدند که مهاجمان هندی، پروتکل مدیریت دستگاه تلفن همراه (MDM) را برای کنترل و گسترش از راه دور برنامه‌های مخرب مورد بهره‌برداری قرار داده‌اند. MDM یک نوع نرم‌افزار امنیتی است که توسط شرکت‌های بزرگ برای کنترل و اجرای سیاست‌ها بر روی دستگاه‌های کارکنان خود، استفاده می‌شود.

استفاده از سرویس MDM اپل برای کنترل از راه دور دستگاه‌ها
برای ثبت‎نام یک دستگاه iOS در سرویس MDM، نیاز است که کاربر به‌صورت دستی گواهی‌نامه‌ی توسعه‌ی سازمان که توسط برنامه‌ی Developer Enterprise اپل توسعه یافت است، را نصب کنند. شرکت‌ها می‌توانند با استفاده از Apple Configurator و از طریق ایمیل یا یک صفحه‌ی وب، فایل پیکربندی MDM را برای سرویس ثبت‌نام over-the-air ارائه دهند. هنگامی‌که کاربر این فایل را نصب کرد، این سرویس به مدیران شرکت اجازه می‌دهد تا از راه دور دستگاه را کنترل کرده، برنامه‌ها را نصب/ حذف کنند، گواهی‌نامه‌ها را نصب/ لغو کنند، دستگاه را قفل کرده، مقررات رمز عبور را تغییر دهند و غیره.


اپل درمورد MDM توضیح می‌دهد: «MDM از سرویس اطلاع‌رسانی اپل (APNS) برای ارسال یک پیام بیدارباش به یک دستگاه مدیریت‌شده استفاده می‌کند. سپس دستگاه برای بازیابی دستورات و بازگشت نتایج، به یک سرویس وب از پیش تعیین‌شده متصل می‌شود.» از آنجایی‌که هر مرحله از فرآیند ثبت‌نام مانند نصب یک مجوز گواهی‌نامه بر روی آیفون، به تعامل کاربر با کاربر نیاز دارد، هنوز مشخص نشده است که مهاجمان چگونه موفق به ثبت ۱۳ آیفون هدف در سرویس MDM خود شده‌اند. با این حال، محققان سیسکو تالوس که این کمپین را کشف کرده‌اند، بر این باورند که مهاجمان احتمالا از یک سازوکار مهندسی اجتماعی، مانند یک تماس پشتیبانی جعلی، و یا دسترسی فیزیکی به دستگاه‌های هدف استفاده کرده‌اند.

 

جاسوسی از طریق برنامه‌های آسیب‌دیده‌ی تلگرام و واتس‌اپ
به گفته‌ی محققان، مهاجمان از سرویس MDM برای نصب از راه دور نسخه‌های اصلاح شده‌ی برنامه‌های قانونی بر روی آیفونهای هدف استفاده می‌کنند. نسخه‌های تغییریافته‌ی برنامه‌ها برای جاسوسی مخفیانه بر روی کاربران، سرقت موقعیت بلادرنگ آن‌ها، مخاطبان، تصاویر، پیام‌های کوتاه و پیام‌های خصوصی از طریق برنامه‌های پیام‌رسان طراحی شده‌اند.


مهاجم برای افزودن ویژگی‌های مخرب به برنامه‌های پیام‌رسان ایمن مانند تلگرام و واتس‌اپ، از روش «BOptions sideloading» استفاده می‌کند. این روش به مهاجم اجازه می‌دهد که یک کتابخانه‌ی پویا را به برنامه‌های قانونی تزریق نماید. محققان توضیح می‌دهند: «مهاجم می‌تواند با تزریق کتابخانه مجوزهای بیشتری را درخواست کند، کد را اجرا کرده و اطلاعات را همراه با چیزهای دیگر، از برنامه‌های اصلی سرقت نماید.» 


بدافزار تزریق‌شده به نسخه‌های آسیب‌دیده‌ی برنامه‌های تلگرام و واتس‌اپ، برای ارسال مخاطبان، موقعیت مکانی و تصاویر از دستگاه آسیب‌دیده به یک سرور راه دور به آدرس hxxp[:]//techwach[.]com طراحی شده‌اند. محققان گفتند: «تالوس یک برنامه‌ی قانونی دیگر را که در مدت این پویش در هند اجرا شده بود، شناسایی کرده است. این برنامه که PrayTime نام دارد، برای اطلاع دادن زمان دعا به کاربر استفاده می‌شود. هدف، دانلود و نمایش تبلیغات خاص به کاربر است. این برنامه، چارچوب‌های خصوصی را برای خواندن پیام‌های کوتاه بر روی دستگاه و ارسال آن‌ها به یک سرور C2 به‌کار می‌گیرد.»


درحال حاضر، هنوز مشخص نیست که چه کسی پشت این پویش قرار دارد، هدف این پویش چه کسانی است و انگیزه‌های این حمله چه بوده است، اما محققان شواهدی دارند که نشان می‌دهد مهاجمان اهل هند هستند، درحالی‌که مهاجمان با استفاده از یک پرچم دروغین، خود را روسی نشان می‌دهند. محققان تالوس گفتند: «به‌دلیل تعداد کم دستگاه‌های آسیب‌دیده، مهاجمان طی یک دوره‌ی ۳ ساله تحت کنترل بودند. ما متوجه شدیم که دستگاه‌های آزمایشی ثبت‌شده در سرویس MDM، با یک شماره‌ی تلفن هندی و بر روی یک ارائه‌دهندی هندی در این سرویس ثبت‌نام کرده‌اند. تمام جزئیات فنی به یک عامل تهدیدکننده اشاره دارد: هند!» اپل پیش از گزارش این پویش، ۳ گواهی‌نامه‌ی مرتبط با این پویش را لغو کرده بود و پس از مطلع شدن توسط گروه تالوس، ۲ گواهی‌نامه‌ی دیگر را نیز لغو کرد.
 

منبع

پست‌های مشابه

Leave a Comment