شرح کلی
نوع: جاسوس افزار (Spyware)
اسامی بدافزار:
Spy.Android.SpyNote.instagram
درجه تخریب: متوسط
میزان شیوع: متوسط
جاسوسافزار (Spyware) چیست؟
با نصب يک spyware بر روي گوشی، هميشه اطلاعات کاربر از نظر امنيتي در معرض تهديد قرار دارند و در هر لحظه ممکن است به سرقت رفته و به افراد غير مجاز تحويل شوند. معمولا جاسوسافزارها به صورت پنهان و به دور از ديد کاربر بر روي گوشی نصب ميشوند و بهصورت کاملا مخفيانه فعاليتهاي خود را انجام ميدهند. اينگونه بدافزارها اطلاعات مورد نياز در خصوص فعاليتهاي کاربر بر روي گوشی و يا هرگونه اطلاعات مورد نياز را جمعآوري و در زمان مناسب براي شخص ديگري ارسال ميکنند. جاسوسافزارها معمولا با فريب دادن کاربران در اينترنت، در قالب یک برنامه کاربردی و مفید بر روي گوشی آنها نصب ميشوند. معمولا اطلاعات مربوط به فعاليتهاي کاربر بر روي گوشی شامل رمزهای عبور، اطلاعات کارتهاي اعتباري و ساير اطلاعات امنيتي از قبيل کليدهاي فشرده شده توسط صفحه کلید و لیست تماسهای کاربر، لیست دفترچه تلفن، پیامهای متنی ارسالی و دریافتی و … را جمع آوري ميکنند.
خانواده بدافزاری Spynote چیست؟
یک تروجان دسترسی از راه دور اندرویدی (RAT) است. به این معنا که میتوان از راه دور و از طریق سرور بدافزار، به هر دستگاه اندرویدی که بدافزار بر روی آن نصب است، دسترسی پیدا کرد. کارهای مخربی که در گوشی کاربر انجام میشوند شامل مواردی مانند دزدیدن اطلاعات کاربران از جمله پیامها و لیست مخاطبان، گوش دادن به مکالمات قربانی، ضبط صدا، کنترل دوربین، دریافت دسترسی ادمین (Admin) و امکان برقراری تماس در گوشی کاربر هستند.
توضیحات فنی
نام این برنامه “FollowerInstagram” است که جزء خانواده بدافزاری جاسوس افزارها بوده و به نام “Spynote” نامگذاری شده است. این برنامه بلافاصله بعد از اجرا، حق مدیریت (DEVICE_ADMIN) دستگاه را در اختیار میگیرد تا به بقای برنامه خود کمک کند؛ به این ترتیب اجازه نمیدهد که کاربر برنامه را به راحتی حذف کند. همچنین، با استفاده از مجوز AccessibilityServices که برای برنامه خود از کاربر میگیرد، اقدام به دزدی اطلاعات کاملی از برنامههای نصب شده روی گوشی، اطلاعات شخصی کاربر مانند اطلاعات تماسها، ارسال و دریافت پیامک، اطلاعات کاملی از گوشی، ضبط صدا، گرفتن عکس، دریافت موقعیت جغرافیایی و … میکند. پس از اجرای برنامه، سرویسی که از نوع AccessibilityServices است، برای گرفتن تنظیمات مربوط به سرویس دستیابی فراخوانی میشود و به همین منظور صفحه زیر به کاربر نمایش داده میشود. در صورتی که کاربر دسترسی را برای برنامه فعال کند، بدافزار بدون هیچ مشکلی فعالیت مخرب خود را آغاز کرده و سرویس خود را همچنان در پس زمینه بالا نگه میدارد (حتی در صورتی که کاربر این سرویس را متوقف کند بعد از چند ثانیه مجددا سرویس راهاندازی و سپس به صورت خودکار برنامه بسته و آیکونش مخفی میشود). طبق بررسیهای انجام شده، بدافزار بعد از گرفتن مجوز سرویس دستیابی به خدمات، یک پرونده شامل لیستی از برنامههای نصب شده روی گوشی به همراه تاریخ نصب و package name هر یک تهیه کرده و در مسیر data/data قرار میدهد. یعنی برنامه بهصورت بهروز لیستی از برنامههای نصب شده در گوشی کاربر را تهیه کرده و به منظور جمع آوری سایر اطلاعات مورد نظر خود، سرویس برنامه (A) را هر ۳ دقیقه یک بار اجرا کرده و بالا بودن این سرویس را بررسی میکند.
سرویس A:
طی روندی که هر 15 ثانیه یک بار در حال تکرار است، عملیات مخرب زیر انجام میشود:
۱. با استفاده از روش WakeLock دستگاه را برای انجام کارهای طولانی در پس زمینه که توسط سرویسهای برنامه درحال انجام است، روشن نگه میدارد.
۲. به این خاطر که در حالتهای خاصی مانند SafeMode اتصال به Wifi به طور خودکار قطع میشود، با استفاده از روش WifiLock اتصال دستگاه به Wifi را همچنان روشن نگه میدارد.
۳. بررسی وضعیت شارژ دستگاه و روشن بودن یا نبودن صفحه نمایش گوشی
۴. واکشی اطلاعات کاملی از گوشی کاربر که شامل موارد زیر میشوند:
- مشخصات دستگاه (شناسه،HOST، مدل دستگاه، شماره نسخه bootloader سیستم، نام تجاری دستگاه، نام سخت افزار، اثر انگشت، نام تولید کننده محصول، شماره سریال سخت افزار و…)
-
مشخصات سیستم عامل (نسخه اندروید، نسخه SDK، زبان، زمان فعلی)
-
مشخصات سیم کارت (IMEI، سریال سیم کارت، اپراتور شبکه، نام اپراتور، شماره تلفن و کد کشور ارائه دهنده سیم کارت)
-
موقعیت جغرافیایی یا مکان تلفن از طریق GSM (کد کشور تلفن همراه، کد شبکه تلفن همراه، شناسه تلفن همراه، کد منطقه محل سکونت)
-
باتری (وضعیت شارژ باتری، بررسی اینکه دستگاه از چه طریقی شارژ میشود (USB))
-
wifi (شناسه سرویس، MAC Address، سرعت، کیفیت سیگنال)
-
میزان صدای گوشی
-
بررسی وضعیت اتصال بلوتوث
-
سیمکارتهایی که اینترنت فعال دارند را مشخص میکند.
۵. دسترسی به حافظه خارجی (SD card) و بهدست آوردن لیست تمام فایلهای موجود در آن
۶. دسترسی به حافظه داخلی گوشی و تغییر در محتویات موجود در آن (مثلا تغییر نام یا محل ذخیره سازی فایلها، تغییر در سایز و قالب تصاویر موجود و …)
۷. دسترسی به call log و واکشی اطلاعات کاملی از آن (نام، شماره و …)
۸. بررسی root بودن یا نبودن گوشی
۹. دسترسی به اطلاعات کاملی از پیامکهای گوشی کاربر (متن پیامک، نام فرستنده یا گیرنده، شماره فرستنده یا گیرنده، تاریخ و …)
۱۰. دسترسی به اطلاعات حسابهای کاربری موجود در سیستم (نام و نوع حساب کاربری)
۱۱. دسترسی به اطلاعات کامل مخاطبین گوشی
۱۲. دسترسی به اطلاعات کامل تاریخچه تماس و حذف هر مورد از آن برحسب شناسه مشخص شده
۱۳. دسترسی به اطلاعات کامل مخاطبین گوشی و ایجاد تغییر یا حذف هر مورد از آن برحسب نام مشخص شده
۱۴. واکشی تنظیمات دوربین
۱۵. بهدست آوردن تنظیمات دوربین گوشی، به منظور اینکه در هر لحظه دوربین عقب تنظیم شده است یا دوربین جلو
۱۶. بازکردن دوربین گوشی
۱۷. تهیه لیستی از setFlashMode ،setFocusMode ،setScanMode و setColorMode (حالتهای مختلفی که برای گرفتن عکس تنظیم شده است مثلا تنظیمات فلش، رنگ و اسکن)
۱۸. گرفتن عکس و بررسی اینکه که آیا عکس به درستی گرفته شده است یا خیر
۱۹. تغییر در میزان صدای دستگاه مثلا زیاد کردن صدا در صورتی که صدای سیستم کم یا قطع باشد
۲۰. تنظیم میکروفون به عنوان منبع صوتی برای ضبط صدا، اقدام به ضبط صدا و ذخیره آن در مسیری در حافظه خارجی (SD card)
۲۱. امکان خاموش/روشن کردن wifi
۲۲. دسترسی به اطلاعات موقعیت مکانی کاربر با استفاده از GPS و بررسی آن هر 5 ثانیه یک بار
۲۳. بررسی فعال یا غیرفعال شدن GPS
۲۴. با استفاده از getInstalledApplications لیستی از همه برنامههایی که در حال حاضر در گوشی نصب هستند به همراه اطلاعات کاملی همچون تاریخ اولین نصب، تاریخ آخرین بهروزرسانی، آیکون برنامه، نسخه برنامه، مسیر قرارگرفتن برنامه، حجم برنامه و اینکه برنامه سیستمی هست یا کاربردی (user/system) را دریافت میکند.
۲۵. بررسی نصب بودن برنامهای خاص و بازکردن آن در صورت نصب بودن
۲۶. policy سیستم (سیاستها، اصول و قواعد تنظیم شده برای دستگاه) را به دست آورده و سپس عملیات باز گرداندن به تنظیمات کارخانه انجام شده که طی آن همه اطلاعات کاربر حذف میشوند.
۲۷. برقراری تماس تلفنی با شماره تماسی مشخص و گرفتن مجوز “android.permission.CALL_PHONE”
۲۸. با استفاده از روش ()sendTextMessage و تعیین شماره گیرنده و متن پیامک اقدام به ارسال پیامک کرده و سپس وضعیت ارسال صحیح آن را نیز بررسی میکند (send/failed)
۲۹. اقدام به دزدی اطلاعات کلیدهای فشرده شده از صفحه کلید کاربر و ذخیره آن
۳۰. با گرفتن مجوز “android.intent.action.DELETE” و تنظیم package name برنامه مورد نظر، برنامهها را حذف میکند.
در نهایت نیز این بدافزار جاسوسی پس از جمع آوری تمام اطلاعات مورد نظرش در مورد قربانی، آنها را به صورت کد شده به مرکز فرماندهی و کنترل (C2) خود “imsgms.myvnc[.]com” ارسال میکند.
روش مقابله و پاکسازی سیستم
برای اطمینان خاطر از عدم آلودگی دستگاه، آنتیویروس پادویش را نصب و فایل پایگاه داده آن را بهروز نگه دارید و اسکن آنتی ویروس را انجام دهید.
روشهای پیشگیری از آلوده شدن گوشی:
۱. از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر خودداری کنید.
۲. هنگام نصب برنامههای موبایلی، به مجوزهای درخواستی دقت کنید.
۳. از فایلها و اطلاعات ذخیره شده در گوشی پشتیبانگیری مداوم انجام دهید.
۴. از نسخههای غیررسمی برنامهها استفاده نکنید. برنامههایی مانند تلگرام و اینستاگرام نسخههای غیررسمی زیادی دارند و بیشتر آنها از طریق کانالهای تلگرامی انتشار مییابند.