کارشناسان آزمایشگاه کسپرسکی به تازگی نوعی جاسوس‌افزار مخصوص گوشی‌های اندرویدی به نام Skygofree را شناسایی کرده‌اند که در حال گسترش است. این بدافزار جدید قادر است تمام قابلیت‌های گوشی را تحت‌تأثیر و کنترل خود قرار دهد. به گفته تحلیلگران بخش بدافزار آزمایشگاه کسپرسکی، زمانی‌که دستگاه موبایل آلوده می‌شود، مهاجمان کنترل کامل دستگاه را از راه دور به دست می‌آورند.


کارشناسان آزمایشگاه کسپرسکی به تازگی نوعی جاسوس‌افزار مخصوص گوشی‌های اندرویدی به نام Skygofree را شناسایی کرده‌اند که در حال گسترش است. این بدافزار جدید قادر است تمام قابلیت‌های گوشی را تحت‌تأثیر و کنترل خود قرار دهد. به گفته تحلیلگران بخش بدافزار آزمایشگاه کسپرسکی، زمانی‌که دستگاه موبایل آلوده می‌شود، مهاجمان کنترل کامل دستگاه را از راه دور به دست می‌آورند.

بنا بر اعلام محققان آزمایشگاه کسپرسکی، سازندگان جاسوس‌افزار خطرناک Skygofree، از سال 2014 فعالیت خود را آغاز کرده‌اند و به احتمال قوی در کشور ایتالیا مستقر هستند، ولی بیشترین فعالیت این بدافزار مربوط به سال 2016 است. طبق نظر محققان کسپرسکی، Skygofree یکی از قوی‌ترین ابزارهای جاسوسی در حوزه اندروید است و این بدافزار همچنان توسط کدنویسان آپدیت می‌شود.

همچنین، آزمایشگاه Daily در مورد این بدافزار گفته‌است: "در طی سه سال گذشته، این کار از یک بخش نسبتاً ساده بدافزار به‌طور کامل افزایش‌ یافته‌است و آثار این بدافزار، شامل یک دامنه ثبت‌شده توسط یک شرکت فن‌آوری اطلاعات ایتالیایی است. اسکای‌گو‌فری نوشته‌است: در حال حاضر 48 نوع فرمان در آخرین نسخه این بدافزار، راه‌های نفوذ را در اختیار هکرها قرار می‌دهد و تقریباً هیچ‌کدام از سرویس‌ها و اطلاعات گوشی از حملات این جاسوس‌افزار در امان نیستند؛ به‌طوری‌که این بدافزار توسعه مداومی داشته ‌است.

یکی دیگر از عملیات مخرب این بدافزار فعال‌کردن وای‌فای و اتصال گوشی به روترهایی است که توسط هکرها راه‌اندازی شده‌اند. ضمن اینکه Skygofree همانند نرم‌افزارهای تروجان دسترسی روت به محتویات گوشی داشته و می‌تواند اطلاعات شخصی کاربران از جمله پیامک‌ها، عکس و ویدئوها را دریافت کرده و تماس‌های تلفنی را در مکان‌های مشخص ضبط کند. این کار بر پنج مورد بهره‌برداری جداگانه تکیه دارد تا دسترسی به ریشه ممتاز را به دست آورد که به آن اجازه می‌دهد تا تدابیر امنیتی کلیدی اندروید را کنار بگذارد.

همان‌طور که گفته شد؛ بدافزار Skygofree در حال حاضر 48 قابلیت منحصربه‌فرد دارد. این بدافزار از پنج اکسپلویت متفاوت (CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636) برای ایجاد دسترسی سطح روت در اندروید استفاده می‌کند تا بتواند مکانیسم‌های امنیتی موجود در این دستگاه‌های همراه را بی‌اثر کند.

به گفته محققان، قابلیت‌های چندگانه و استثنایی، در این ابزار جاسوسی نظیر استفاده از بهره‌بردارهای متعدد برای به‌دست آوردن امتیازات ریشه، یک ساختارِ payload پیچیده و ویژگی‌های نظارتی که پیش ‌از این در هیچ ابزار جاسوسی دیگری مشاهده نشده‌است، وجود دارد.

سایر قابلیت‌های بدافزار Skygofree
- ردیابی GSM
- سرقت گفتگوهای WhatsApp
- ردیابی مکان با تشخیص حرکت
- سرقت اطلاعات از کلیپ‌بورد تلفن
- اتصال عکسی،‌ کی‌لاگر، ضبط مکالمات اسکایپ
- اتصال به سایر دستگاه‌های آلوده در محیط اطراف
- روشن‌کردن دوربین جلو دستگاه به‌طور خودکار
- پوسته معکوس برای ارسال دستورات به دستگاه‌های آلوده
- از کار انداختن دستگاه به‌واسطه سرویس Accessibility
- ضبط صدا، عکس‌ها، فیلم‌ها و آپلود فایل در یک سرور از راه دور
- جستجو فایل‌ها و آپلود فایل‌های سرقت‌شده به یک سرور از راه دور
- ایجاد یک اتصال WiFi جدید و مجبورکردن تلفن کاربر برای اتصال به آن
- استخراج داده‌ها از برنامه‌های IM مانند: Line، Viber، WhatsApp، Facebook و Facebook Messenger که قادراست خود را به لیست «Protected Apps» در دستگاه‌های Huawei اضافه‌کند. برنامه‌های موجود در این لیست، زمانی‌که صفحه‌نمایش گوشی خاموش‌است، به اجرا در می‌آید.

کسپرسکی درباره قابلیت‌های این بدافزار گفته است: این ابزار جاسوسی، از سرویس دسترسی به اندروید برای به‌دست‌آوردن اطلاعات، مستقیماً از عناصر نمایش داده‌شده بر روی صفحه‌نمایش دستگاه آلوده‌شده استفاده می‌کند، بنابراین منتظر می‌ماند تا برنامه‌کاربردی مورد نظر راه‌اندازی شود و سپس تمام nodeها را برای یافتن پیام‌های متنی تجزیه‌وتحلیل می‌کند.
آزمایشگاه Daily در مورد این بدافزار گفته‌است: این بدافزار از طریق وب‌سایت‌های تلفن‌همراه تقلبی توزیع می‌شود که در آن Skygofree به‌عنوان یک به‌روز‌رسانی برای بهبود سرعت اینترنت موبایل تغییر می‌کند، اگر کاربر Trojan را دانلود کند، اعلامیه‌ای را نمایش می‌دهد که به‌طور فرضی در حال پیشرفت است، خود را از کاربر پنهان می‌کند و دستورهای بیشتری از سرور دستور می‌دهد. بر اساس نتایجی که از کدهای این بدافزار به‌دست آورده‌ایم، با اطمینان بسیار بالا می‌توانیم بگوییم یک شرکت ایتالیایی فعال در زمینه فن‌آوری‌اطلاعات، پشت جاسوس‌افزار Skygofree است؛ این شرکت به مشتریان خود دستورالعمل‌های نظارتی ارائه می‌دهد. آزمایشگاه‌های Kaspersky گفتند که داده‌های یافت‌شده حاکی از آن است که چندین نفر در ایتالیا، آلوده شده‌اند.
Doctorow گفت: محققان این بدافزار را براساس سرنخ‌های زیرکانه و بی‌نتیجه ردیابی می‌کنند، مانند یک دامنه که در این کد به یک شرکت ایتالیایی ثبت شده‌است. Doctorow همچنین اظهار داشت: این امر برای نویسندگان بدافزار رایج است که در مورد منشأ محصولات خود به محققان obfuscate یا misdirect مراجعه کنند.

بیشترین حملات این جاسوس‌افزار در سال 2015 اتفاق افتاد و نشانه‌هایی از چند مورد حمله در تاریخ 31 اکتبر سال 2017 مشاهده‌شد. دلیل علاقه زیاد هکرها به این بدافزار قابلیت بالای آن در مخفی‌ماندن از دید کاربران است. skygofree علاوه بر دستگاه‌های مبتنی بر اندروید در سیستم‌های ویندوزی هم مشاهده شده به‌طوری که محققان به تازگی ماژول‌هایی از این جاسوس‌افزار را ردیابی کرده‌اند که به پلتفرم‌های ویندوز حمله کرده‌اند.

Whitwam در مورد این بدافزار گفته است: کاربران نگران بدافزار Skygofree نباشند، زیرا تا زمانی‌که APKs را نصب نکنید، ممکن نیست که دستگاه شما به Skygofree آلوده شود. همچنین، بهترین راه برای جلوگیری از حملات این‌گونه ابزارهای جاسوسی این است که از دانلود برنامه‌ها از طریق وب‌سایت‌های شخص ثالث، فروشگاه برنامه‌ها یا لینک‌های ارائه‌شده در پیامک‌ها یا پست‌های الکترونیک خودداری نمائید.

ترجمه: وحید ذبیح‌اله‌نژاد
منبع:
تچ اکسپلور



https://www.cyberpolice.ir/news/114761