یکشنبه , 2 اردیبهشت 1397
صفحه اول » فرهنگ » “موج‌شکن”، بدافزاری برای جاسوسی از کاربران ایرانی!

“موج‌شکن”، بدافزاری برای جاسوسی از کاربران ایرانی!

در حال حاضر تهدیدی جدی که می‌توان گفت همه کاربران تلفن‌های همراه را در ایران هدف قرار داده، آلوده ساختن میلیون‌ها دستگاه اندرویدی است.

به احتمال زیاد این روزها شما نیز با پیامک‌های مختلفی مواجه شده‌اید که حاوی لینک‌هایی برای دانلود فیلترشکن و دیگر برنامه‌ها هستند. پیامک‌هایی که بدون اطلاع صاحب اصلی سیم‌کارت ارسال می‌شوند و لینک دانلودی که در آن پیشنهاد می‌شود عموما آلوده به بدافزار است.

فایل آلوده به بدافزاری که پس از آلوده ساختن هر دستگاه، اقدام به ارسال مجدد پیامک به کل افرادی می‌کند که در لیست تماس تلفن همراه کاربر قرار دارند و به این صورت این بدافزار خودش را گسترش می‌دهد.

عامل اصلی انتشار این بدافزار و نمونه‌های مشابه که خودشان را به عنوان ابزارهای دور زدن فیلترینگ اینترنت معرفی می‌کنند، سانسور سرویس‌هایی مانند تلگرام و اینستاگرام است که میلیون‌ها کاربر در ایران داشته و دارند.

خرابکاران سایبری با ایجاد و انتشار بدافزارهای گوناگون تحت عنوان فیلترشکن‌های مشهور و جدید، کاربران زیادی را فریب می‌دهند و با آلوده کردن دستگاه‌های آنها، اقدام به سرقت اطلاعات خصوصی، هک حساب‌های کاربری و سایر اعمال مجرمانه می‌کنند.

یکی از مواردی که در روزهای گذشته در شبکه مخابراتی ایران مشاهده شده، پیامکی است با مضمون “سلام – این فیلترشکن رو دانلود کن باهاش میتونی خیلی راحت به تلگرام وصل بشی http://qqt.ir/abcde” که به شهروندان ایرانی ارسال شده و همچنان ارسال می‌شود.

فایل فیلترشکن معرفی شده در این پیامک که به صورت یک لینک کوتاه شده به مخاطبان ارسال می‌شود، پس از باز کردن لینک، کاربر را به یک سایت تازه تاسیس به نشانی “http://serverclient12[.]tk” هدایت می‌کند برای دریافت فایلی با پسوند APK (فایل نصب برنامه‌های اندرویدی).

این فایل که به عمد “psiphone6” نام‌گذاری شده است، در گام نخست با بهره از نام و تصویر فیلترشکن رسمی سایفون، سعی در فریب کاربر برای نصب خود دارد و پس از نصب و اجرای آن، سه پیغام خطای جعلی پی‌درپی نمایش داده می‌شود:

۱- لطفا به اینترنت متصل شوید

۲- برای عمل‌کرد صحیح برنامه لطفا اینترنت را روشن کرده و مجددا تلاش کنید

۳- Proxy not working in your phone! , PSIPHON deleted successfully

این پیغام‌ها به کاربر القاء می‌کند که این فیلترشکن با دستگاه‌ او سازگار نبوده و با موفقیت حذف شده است. اما در واقع بدافزار در پشت ‌پرده به فعالیت خود ادامه داده و در مرحله اول اقدام به ارسال پیامک‌ حاوی لینک دانلود مجدد بدافزار به تمام افرادی می‌کند که در دفترچه تماس کاربر قربانی قرار دارند. سپس به صورت کنترل از راه دور، منتظر فرمان‌های ارسالی از سوی سازندگان خود می‌شود تا دستورات جدید را اجرا کند.

از دیگر قابلیت‌های مهم و قابل توجه این بدافزار، امکان دریافت و نصب فایل‌های مختلف (از جمله بدافزار) از طریق اینترنت است. باید توجه داشت که این بدافزار به‌گونه‌ای طراحی شده است که می‌تواند خود را به‌روزرسانی کند و فعالیت‌های مخرب بیشتری انجام دهد.

نکته جالب و شاید غیرقابل باور در مورد این بدافزار این است که سازندگان آن به‌احتمال بسیار زیاد در نسخه‌های بدافزاری/نرم‌‌افزاری پیشین خود از دستوراتی برای پرداخت‌های بانکی از طریق درگاه شاپرک بانک ملت استفاده کرده بودند و در این نسخه بدافزاری، بخش‌هایی از کدهای قبلی خود را کپی کرده‌اند.

این بدافزار در زمان نصب ۳۲ دسترسی مختلف می‌گیرد که با نگاهی به آنها براحتی می‌توان دید که این بدافزار می‌تواند:

  • از طریق دستگاه قربانی به هر تعداد پیامک ارسال کند و تمامی پیامک‌های دریافتی را می‌تواند بخواند. به عنوان مثال اگر شما کد تایید برای تلگرام را دریافت کنید و این بدافزار بر روی تلفن همراه شما نصب باشد، طراح این بدافزار براحتی می‌تواند این کد تایید را بخواند و از طریق آن حساب تلگرام را فعال کند.
  • به وضعیت شبکه‌ای که دستگاه تلفن همراه قربانی به آن وصل شده است دسترسی پیدا کند و اطلاعات لازم مانند نام وای‌فای، ارائه دهنده سرویس و غیره را برای طراح بدافزار ارسال کند. این ویژگی براحتی به طراح این بدافزار امکان می‌دهد که لیست کامل وای‌فای‌هایی را که قربانی در جا‌های مختلف به آن وصل شده را به دست آورد و در صورت نیاز از آنها برای شناسایی مکان‌های رفت و آمد افراد استفاده کند.
  • تمام اطلاعات حافظه خارجی گوشی (مانند کارت SD) را بخواند یا هر اطلاعاتی را که بخواهد در آن ذخیره کند.
  • تمام تنظیمات (Settings) دستگاه را مشاهده کند و در صورت نیاز تغییر دهد. به عنوان مثال این اپلیکیشن می‌تواند اپلیکیشن‌هایی مانند آنتی‌ویروس را بدون آنکه کاربر متوجه شود غیرفعال کند.
  • طبق بررسی‌های انجام شده، این بدافزار از دو سرویس OneSignal و Ronash برای ارسال یادآوری (نوتیفیکیشن) استفاده می‌کند. نوتیفیکیشن‌هایی که با توجه به سازوکار این بدافزار، می‌توان آن را نوعی ارسال فرمان برای فعالیت‌های آینده تلقی کرد.

سازندگان این بدافزار پیش از این نیز اقدام به انتشار بدافزارهای مشابه دیگری نیز کرده بودند. به عنوان مثال می‌توان به دو نسخه جعلی گوگل پلی و همچنین سرویس پیامک جعلی اشاره کرد:

براساس همین سه بدافزار مشابه می‌توان این ادعا را مطرح کرد که طراحان، در گذشته از طریق این بدافزارها وب‌سایت‌هایی مانند دولت بهار را – متعلق به محمود احمدی‌نژاد، رئیس جمهوری سابق ایران است – تبلیغ می‌کرده‌اند و سعی در افزایش رتبه این وب‌سایت در ‌سایت آلکسا داشته‌اند.

در نهایت اگر شما به هر دلیل این بدافزار را بر روی تلفن همراه خود نصب کرده‌اید، می‌توانید از آنتی‌ویروس Avira Antivirus Security استفاده کنید و آن را حذف کنید.