کشف جاسوس‌افزار اندرویدی BusyGasper پس از دو سال مخفی بودن

 

محققان امنیتی از آزمایشگاه کسپرسکی بدافزاری با نام BusyGasper را کشف کردند که کاربران اندروید را هدف قرار داده و برای ۲ سال مخفی مانده است. این بدافزار از سال ۲۰۱۶ میلادی فعال بوده و دارای ویژگی‌هایی برای جاسوسی از دستگاه قربانی است. این بدافزار می‌تواند به تمامی حسگرهای موجود در دستگاه گوش داده و از قابلیت‌های GPS و شبکه برای ردیابی کاربران استفاده کند. در صورتی که پیامک دریافتی دارای رشته‌ای مشخص باشد، این بدافزار می‌تواند دستورات ارسالی در آن را عملیاتی کند.


بدافزار BusyGasper قادر است اطلاعات را از پیام‌رسان‌های مختلفی مانند واتس‌اپ، وایبر و فیس‌بوک به سرقت برده و از دستگاه خارج کند. در این بدافزار همچنین قابلیت‌های کی‌لاگر نیز وجود دارد. بدافزار دارای مولفه‌های مختلف بوده و می‌تواند آن‌ها را از سرور دستور و کنترل دانلود کرده و یا به‌روزرسانی کند. سرور دستور و کنترل همچون سرور FTP عمل می‌کند که توسط شرکت روسی Ucoz میزبانی می‌شود.


محققان اعلام کردند این بدافزار از طریق دسترسی فیزیکی به دستگاه قربانی و به‌طور دستی نصب شده است. تاکنون کمتر از ۱۰ قربانی توسط این شرکت امنیتی شناسایی شده که همگی آن‌ها در روسیه قرار دارند. این بدافزار از ارتباطات IRC نیز پشتیبانی می‌کند که چیز غیرعادی در مورد بدافزارهای اندرویدی محسوب می‌شود. کد مخرب مربوط به این بدافزار می‌تواند وارد حساب کاربری مهاجم شده و برای دریافت دستورات از ایمیل‌ها و یا ضمیمه‌های موجود در آن استفاده کند. در ارتباطات این بدافزار با سرور دستور و کنترل از رمزنگاری استفاده نشده و این سرور نقش FTP را بازی می‌کند و این مسأله نشان می‌دهد مهاجمان حرفه‌ای پشت این بدافزار نیستند.


ماژول اول از این بدافزار که بر روی سیستم قربانی نصب می‌شود، از طریق پروتکل IRC قابل کنترل بوده و مهاجم می‌تواند با استفاده از آن، مولفه‌های دیگری را نیز نصب کند. این ماژول قابلیت آغاز و توقف ارتباطات IRC، استفاده از ویژگی‌های روت، اجرای شِل، ارسال دستورات به دیگر مولفه‌ها، دانلود و کپی دیگر مولفه‌ها در مسیرهای مشخص و نوشتن پیام‌های ویژه در log را دارا می‌باشد.


ماژول دوم در این بدافزار، تاریخچه و log از دستورات اجراشده را در فایلی با نام lock نوشته و در ادامه آن را برای سرور دستور و کنترل ارسال می‌کند. این پیام‌ها از طریق پیامک نیز برای مهاجمان ارسال می‌شود. این بدافزار نحو دستوری مخصوص به خود را دارد و در آن از نویسه‌ها استفاده شده و از علامت # برای جدا کردن نویسه‌ها استفاده می‌شود. محققان همچنین یک منوی مخفی مربوط به این بدافزار را شناسایی کردند که برای کنترل دستی مورد استفاده قرار می‌گیرد. این منو در صورتی که از دستگاه قربانی با شماره‌ی ۹۹۰۹ تماس گرفته شود، فعال خواهد شد.

 

منبع
 

پست‌های مشابه

Leave a Comment