محققان امنیتی از آزمایشگاه کسپرسکی بدافزاری با نام BusyGasper را کشف کردند که کاربران اندروید را هدف قرار داده و برای ۲ سال مخفی مانده است. این بدافزار از سال ۲۰۱۶ میلادی فعال بوده و دارای ویژگیهایی برای جاسوسی از دستگاه قربانی است. این بدافزار میتواند به تمامی حسگرهای موجود در دستگاه گوش داده و از قابلیتهای GPS و شبکه برای ردیابی کاربران استفاده کند. در صورتی که پیامک دریافتی دارای رشتهای مشخص باشد، این بدافزار میتواند دستورات ارسالی در آن را عملیاتی کند.
بدافزار BusyGasper قادر است اطلاعات را از پیامرسانهای مختلفی مانند واتساپ، وایبر و فیسبوک به سرقت برده و از دستگاه خارج کند. در این بدافزار همچنین قابلیتهای کیلاگر نیز وجود دارد. بدافزار دارای مولفههای مختلف بوده و میتواند آنها را از سرور دستور و کنترل دانلود کرده و یا بهروزرسانی کند. سرور دستور و کنترل همچون سرور FTP عمل میکند که توسط شرکت روسی Ucoz میزبانی میشود.
محققان اعلام کردند این بدافزار از طریق دسترسی فیزیکی به دستگاه قربانی و بهطور دستی نصب شده است. تاکنون کمتر از ۱۰ قربانی توسط این شرکت امنیتی شناسایی شده که همگی آنها در روسیه قرار دارند. این بدافزار از ارتباطات IRC نیز پشتیبانی میکند که چیز غیرعادی در مورد بدافزارهای اندرویدی محسوب میشود. کد مخرب مربوط به این بدافزار میتواند وارد حساب کاربری مهاجم شده و برای دریافت دستورات از ایمیلها و یا ضمیمههای موجود در آن استفاده کند. در ارتباطات این بدافزار با سرور دستور و کنترل از رمزنگاری استفاده نشده و این سرور نقش FTP را بازی میکند و این مسأله نشان میدهد مهاجمان حرفهای پشت این بدافزار نیستند.
ماژول اول از این بدافزار که بر روی سیستم قربانی نصب میشود، از طریق پروتکل IRC قابل کنترل بوده و مهاجم میتواند با استفاده از آن، مولفههای دیگری را نیز نصب کند. این ماژول قابلیت آغاز و توقف ارتباطات IRC، استفاده از ویژگیهای روت، اجرای شِل، ارسال دستورات به دیگر مولفهها، دانلود و کپی دیگر مولفهها در مسیرهای مشخص و نوشتن پیامهای ویژه در log را دارا میباشد.
ماژول دوم در این بدافزار، تاریخچه و log از دستورات اجراشده را در فایلی با نام lock نوشته و در ادامه آن را برای سرور دستور و کنترل ارسال میکند. این پیامها از طریق پیامک نیز برای مهاجمان ارسال میشود. این بدافزار نحو دستوری مخصوص به خود را دارد و در آن از نویسهها استفاده شده و از علامت # برای جدا کردن نویسهها استفاده میشود. محققان همچنین یک منوی مخفی مربوط به این بدافزار را شناسایی کردند که برای کنترل دستی مورد استفاده قرار میگیرد. این منو در صورتی که از دستگاه قربانی با شمارهی ۹۹۰۹ تماس گرفته شود، فعال خواهد شد.
