جاسوس‌افزار اندرویدی جدید هکر‌های APT C-23 برای کاربران خاورمیانه

اخبار داغ فناوری اطلاعات و امنیت شبکه
takian.ir apt c 23 hackers using new android spyware variant to target middle east users 1
یک عامل تهدید که بخاطر حمله به اهداف در خاورمیانه شناخته می‌شود، نرم‌افزار جاسوسی اندروید خود را بار دیگر با قابلیت‌های پیشرفته‌تر تکامل داده است که به این جاسوس‌افزار اجازه می‌دهد مخفیانه‌تر عمل کرده و پایدارتر باشد؛ در عین حال در قالب بروزرسانی‌های به ظاهر بی‌ضرر برنامه‌ها از امکان شناسایی مصون بماند.

پانکاج کوهلی، محقق تهدیدات سایبرز Sophos در گزارشی که روز سه‌شنبه منتشر شد، گفت: "این نوع‌های جدید، ویژگی‌های جدیدی را نیز در برنامه‌های مخرب خود گنجانده‌اند که آن‌ها را در برابر اقدامات کاربران که ممکن است بطور دستی آن‌ها را حذف کنند، و اینکه شرکت‌های امنیتی و وب‌هاست‌هایی که تلاش می‌کنند دسترسی به آن‌ها را مسدود یا دامین سرور command-and-control آن‌ها را غیرفعال کنند، انعطاف‌پذیرتر می‌کند".

این نرم‌افزار جاسوسی موبایل که با نام‌های VAMP، FrozenCell، GnatSpy و Desert Scorpion نیز شناخته می‌شود. این جاسوس‌افزار حداقل از سال ۲۰۱۷ با تکرار‌های متوالی با قابلیت نظارت گسترده برای سرقت فایل‌های فایل‌ها، ابزار انتخابی برگزیده گروه تهدید APT-C-23 بوده است. فایل‌ها مذکور شامل فایل‌های سیستمی، تصاویر، مخاطبین، گزارش تماس‌ها، خواندن اعلان‌ها از برنامه‌های پیام‌رسان، ضبط تماس‌ها (از جمله WhatsApp) و حذف کردن اعلان‌ها از برنامه‌های امنیتی داخلی اندروید می‌باشند.
takian.ir apt c 23 hackers using new android spyware variant to target middle east users 2
در گذشته، این بدافزار از طریق فروشگاه‌های اپلیکیشن جعلی اندروید تحت پوشش AndroidUpdate، Threema و Telegram توزیع می‌شده است. کمپین اخیر از این جهت که در قالب برنامه‌هایی می‌باشد که قصد دارد بروزرسانی‌هایی را با نام‌هایی مانند بروزرسانی‌های برنامه، بروزرسانی‌های برنامه‌های سیستمی و بروزرسانی سیستم‌عامل اندروید روی تلفن هدف نصب کند، تفاوت چندانی با قبل ندارد. اعتقاد بر این است که مهاجمان برنامه جاسوس‌افزار را با ارسال پیوند دانلود به اهداف از طریق پیام‌های smishing به اهداف خود تحویل و ارائه می‌دهند.

پس از نصب، برنامه شروع به درخواست مجوز‌های تهاجمی برای انجام رشته‌ای از فعالیت‌های مخرب می‌کند. این فعالیت‌ها به گونه‌ای طراحی شده‌اند که از تلاش برای حذف دستی بدافزار جلوگیری کنند. این برنامه حتی آیکون خود را تغییر می‌دهد تا در پس برنامه‌های محبوب مانند کروم، گوگل، گوگل پلی و یوتیوب پنهان شود و در صورتی که کاربر روی آیکون تقلبی کلیک کند، نسخه اصلی برنامه راه‌اندازی می‌شود و در حین اجرای برنامه اصلی، این بدافزار در پس‌زمینه شروع به انجام اقدامات نظارتی و جاسوسی خود می‌نماید.

کوهلی افزود: "جاسوس‌افزار‌ها تهدیدی رو به رشد در دنیایی هستند که به طور فزاینده‌ای در حال افزایش اتصالات و ارتباطات با یکدیگر هستند. نرم‌افزار جاسوسی اندروید مرتبط با گروه APT-C-23 حداقل چهار سال است که وجود دارد و مهاجمان به توسعه آن با تکنیک‌های جدیدی ادامه می‌دهند که از هرگونه امکان شناسایی و حذف عبور و فرار کنند".

برچسب ها: آیکون, smishing, AndroidUpdate, Threema, GnatSpy, FrozenCell, VAMP, Desert Scorpion, جاسوس‌افزار, APT C-23, Sophos, یوتوب, Youtube, کروم, cybersecurity, گوگل پلی, Google Play, malware, Chrome, Android , Telegram, WhatsApp, بروزرسانی, اندروید, بدافزار, امنیت سایبری, تلگرام, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ