Spy.Android.SpyNote.instagram

شرح کلی

نوع: جاسوس افزار (Spyware)
اسامی بدافزار:
Spy.Android.SpyNote.instagram
درجه تخریب: متوسط
میزان شیوع: متوسط

جاسوس‌افزار (Spyware) چیست؟

با نصب يک spyware بر روي گوشی، هميشه اطلاعات کاربر از نظر امنيتي در معرض تهديد قرار دارند و در هر لحظه ممکن است به سرقت رفته و به افراد غير مجاز تحويل شوندمعمولا جاسوس‌افزارها به صورت پنهان و به دور از ديد کاربر بر روي گوشی نصب مي‌شوند و به‌صورت کاملا مخفيانه فعاليت‌هاي خود را انجام مي‌دهند. اين‌گونه بدافزارها اطلاعات مورد نياز در خصوص فعاليت‌هاي کاربر بر روي گوشی و يا هرگونه اطلاعات مورد نياز را جمع‌آوري و در زمان مناسب براي شخص ديگري ارسال مي‌کنندجاسوس‌افزارها معمولا با فريب دادن کاربران در اينترنت، در قالب یک برنامه کاربردی و مفید بر روي گوشی آنها نصب مي‌شوند. معمولا اطلاعات مربوط به فعاليت‌هاي کاربر بر روي گوشی شامل رمز‌های عبور، اطلاعات کارت‌هاي اعتباري و ساير اطلاعات امنيتي از قبيل کليدهاي فشرده شده توسط صفحه کلید و لیست تماس‌های کاربر، لیست دفترچه تلفن، پیام‌های متنی ارسالی و دریافتی و … را جمع آوري مي‌کنند.

خانواده بدافزاری Spynote چیست؟

یک تروجان دسترسی از راه دور اندرویدی (RAT) است. به این معنا که می‌توان از راه دور و از طریق سرور بدافزار، به هر دستگاه اندرویدی که بدافزار بر روی آن نصب است، دسترسی پیدا کرد. کارهای مخربی که در گوشی کاربر انجام می‌شوند شامل مواردی مانند دزدیدن اطلاعات کاربران از جمله پیام‌ها و لیست مخاطبان، گوش دادن به مکالمات قربانی، ضبط صدا، کنترل دوربین، دریافت دسترسی ادمین (Admin) و امکان برقراری تماس در گوشی کاربر هستند.

توضیحات فنی

نام این برنامه “FollowerInstagram” است که جزء خانواده بدافزاری جاسوس افزارها بوده و به نام “Spynote” نامگذاری شده است. این برنامه بلافاصله بعد از اجرا، حق مدیریت (DEVICE_ADMIN) دستگاه را در اختیار می‌گیرد تا به بقای برنامه خود کمک کند؛ به این ترتیب اجازه نمی‌دهد که کاربر برنامه را به راحتی حذف کند. همچنین، با استفاده از مجوز AccessibilityServices که برای برنامه خود از کاربر می‌گیرد، اقدام به دزدی اطلاعات کاملی از برنامه‌های نصب شده روی گوشی، اطلاعات شخصی کاربر مانند اطلاعات تماس‌ها، ارسال و دریافت پیامک، اطلاعات کاملی از گوشی، ضبط صدا، گرفتن عکس، دریافت موقعیت جغرافیایی و … می‌کندپس از اجرای برنامه، سرویسی که از نوع AccessibilityServices است، برای گرفتن تنظیمات مربوط به سرویس دستیابی فراخوانی می‌شود و به همین منظور صفحه زیر به کاربر نمایش داده می‌شود. در صورتی که کاربر دسترسی را برای برنامه فعال کند‌، بدافزار بدون هیچ مشکلی فعالیت مخرب خود را آغاز کرده و سرویس خود را همچنان در پس زمینه بالا نگه می‌دارد (حتی در صورتی که کاربر این سرویس را متوقف کند بعد از چند ثانیه مجددا سرویس راه‌اندازی و سپس به صورت خودکار برنامه بسته و آیکونش مخفی می‌شود)طبق بررسی‌های انجام شده، بدافزار بعد از گرفتن مجوز سرویس دستیابی به خدمات، یک پرونده شامل لیستی از برنامه‌های نصب شده روی گوشی به همراه تاریخ نصب و package name هر یک تهیه کرده و در مسیر data/data قرار می‌دهدیعنی برنامه به‌صورت به‌روز لیستی از برنامه‌های نصب شده در گوشی کاربر را تهیه کرده و به منظور جمع آوری سایر اطلاعات مورد نظر خود، سرویس برنامه (A) را هر ۳ دقیقه یک بار اجرا کرده و بالا بودن این سرویس را بررسی می‌کند.

سرویس A:

طی روندی که هر 15 ثانیه یک بار در حال تکرار است، عملیات مخرب زیر انجام می‌شود:

۱. با استفاده از روش WakeLock دستگاه را برای انجام کارهای طولانی در پس زمینه که توسط سرویس‌های برنامه درحال انجام است، روشن نگه می‌دارد.

۲. به این خاطر که در حالت‌های خاصی مانند SafeMode اتصال به Wifi به طور خودکار قطع می‌شود، با استفاده از روش WifiLock اتصال دستگاه به Wifi را همچنان روشن نگه می‌دارد.

۳. بررسی وضعیت شارژ دستگاه و روشن بودن یا نبودن صفحه نمایش گوشی

۴. واکشی اطلاعات کاملی از گوشی کاربر که شامل موارد زیر می‌شوند:

  • مشخصات دستگاه (شناسه،HOST، مدل دستگاه، شماره نسخه bootloader سیستم، نام تجاری دستگاه، نام سخت افزار، اثر انگشت، نام تولید کننده محصول، شماره سریال سخت افزار و…)
  • مشخصات سیستم عامل (نسخه اندروید، نسخه SDK، زبان، زمان فعلی)

  • مشخصات سیم کارت (IMEI، سریال سیم کارت، اپراتور شبکه، نام اپراتور، شماره تلفن و کد کشور ارائه دهنده سیم کارت)

  • موقعیت جغرافیایی یا مکان تلفن از طریق GSM (کد کشور تلفن همراه، کد شبکه تلفن همراه، شناسه تلفن همراه، کد منطقه محل سکونت)

  • باتری (وضعیت شارژ باتری، بررسی اینکه دستگاه از چه طریقی شارژ می‌شود (USB))

  • wifi (شناسه سرویس، MAC Address، سرعت، کیفیت سیگنال)

  • میزان صدای گوشی

  • بررسی وضعیت اتصال بلوتوث

  • سیم‌کارت‌هایی که اینترنت فعال دارند را مشخص می‌کند.

۵. دسترسی به حافظه خارجی (SD card) و به‌دست آوردن لیست تمام فایل‌های موجود در آن

۶. دسترسی به حافظه داخلی گوشی و تغییر در محتویات موجود در آن (مثلا تغییر نام یا محل ذخیره سازی فایل‌ها، تغییر در سایز و قالب تصاویر موجود و …)

۷. دسترسی به call log و واکشی اطلاعات کاملی از آن (نام، شماره و …)

۸. بررسی root بودن یا نبودن گوشی

۹. دسترسی به اطلاعات کاملی از پیامک‌های گوشی کاربر (متن پیامک، نام فرستنده یا گیرنده، شماره فرستنده یا گیرنده، تاریخ و …)

۱۰. دسترسی به اطلاعات حساب‌های کاربری موجود در سیستم (نام و نوع حساب کاربری)

۱۱. دسترسی به اطلاعات کامل مخاطبین گوشی

۱۲. دسترسی به اطلاعات کامل تاریخچه تماس و حذف هر مورد از آن برحسب شناسه مشخص شده

۱۳. دسترسی به اطلاعات کامل مخاطبین گوشی و ایجاد تغییر یا حذف هر مورد از آن برحسب نام مشخص شده

۱۴. واکشی تنظیمات دوربین

۱۵. به‌دست آوردن تنظیمات دوربین گوشی، به منظور اینکه در هر لحظه دوربین عقب تنظیم شده است یا دوربین جلو

۱۶. بازکردن دوربین گوشی

۱۷. تهیه لیستی از setFlashMode ،setFocusMode ،setScanMode و setColorMode (حالت‌های مختلفی که برای گرفتن عکس تنظیم شده است مثلا تنظیمات فلش، رنگ و اسکن)

۱۸. گرفتن عکس و بررسی اینکه که آیا عکس به درستی گرفته شده است یا خیر

۱۹. تغییر در میزان صدای دستگاه مثلا زیاد کردن صدا در صورتی که صدای سیستم کم یا قطع باشد

۲۰. تنظیم میکروفون به عنوان منبع صوتی برای ضبط صدا، اقدام به ضبط صدا و ذخیره آن در مسیری در حافظه خارجی (SD card)

۲۱. امکان خاموش/روشن کردن wifi

۲۲. دسترسی به اطلاعات موقعیت مکانی کاربر با استفاده از GPS و بررسی آن هر 5 ثانیه یک بار

۲۳. بررسی فعال یا غیرفعال شدن GPS

۲۴. با استفاده از getInstalledApplications لیستی از همه برنامه‌هایی که در حال حاضر در گوشی نصب هستند به همراه اطلاعات کاملی همچون تاریخ اولین نصب، تاریخ آخرین به‌روزرسانی، آیکون برنامه، نسخه برنامه، مسیر قرارگرفتن برنامه، حجم برنامه و اینکه برنامه سیستمی هست یا کاربردی (user/system) را دریافت می‌کند.

۲۵. بررسی نصب بودن برنامه‌ای خاص و بازکردن آن در صورت نصب بودن

۲۶. policy سیستم (سیاست‌ها، اصول و قواعد تنظیم شده برای دستگاه) را به دست آورده و سپس عملیات باز گرداندن به تنظیمات کارخانه انجام شده که طی آن همه اطلاعات کاربر حذف می‌شوند.

۲۷. برقراری تماس تلفنی با شماره تماسی مشخص و گرفتن مجوز “android.permission.CALL_PHONE”

۲۸. با استفاده از روش ()sendTextMessage و تعیین شماره گیرنده و متن پیامک اقدام به ارسال پیامک کرده و سپس وضعیت ارسال صحیح آن را نیز بررسی می‌کند (send/failed)

۲۹.  اقدام به دزدی اطلاعات کلیدهای فشرده شده از صفحه کلید کاربر و ذخیره آن

۳۰. با گرفتن مجوز “android.intent.action.DELETE” و تنظیم package name برنامه مورد نظر، برنامه‌ها را حذف می‌کند.

در نهایت نیز این بدافزار جاسوسی پس از جمع آوری تمام اطلاعات مورد نظرش در مورد قربانی، آنها را به صورت کد شده به  مرکز فرماندهی و کنترل (C2) خود “imsgms.myvnc[.]com” ارسال می‌کند.

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی‌ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۲. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان‌گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>