این بدافزار در یک بروز کننده به نام “System Update” که باید در خارج از Google Play ، فروشگاه برنامه دستگاه های Android نصب شده باشد ، پیدا شده است. پس از نصب توسط کاربر ، برنامه داده های دستگاه قربانی را به سرورهای خاصی ارسال می کند.
محققان شرکت امنیتی موبایل Zimperium ، که این نرم افزار مخرب را کشف کردند ، گفتند هنگامی که قربانی برنامه مخرب را نصب کرد ، بدافزار با سرور Firebase اپراتور ارتباط برقرار می کند ، که برای کنترل از راه دور دستگاه استفاده می شود.
این جاسوس افزار می تواند پیام ها ، مخاطبین ، جزئیات دستگاه ، نشانک های مرورگر و سابقه جستجو را سرقت کند ، تماس ها و صدای محیط را از میکروفون ضبط کند و حتی با استفاده از دوربین های تلفن از محیط پیرامون عکس بگیرد. این بدافزار همچنین مکان قربانی را ردیابی کرده پرونده های اسناد را جستجو و داده های کپی شده را از کلیپ بورد دستگاه اندرویدی به سرقت می برد.
این بدافزار از چشم قربانی مخفی شده و با بارگذاری عکسهای کوچک بند انگشتی در سرورهای مهاجم به جای تصویر کامل، سعی در فرار از آن دارد. این بدافزار همچنین به روزترین داده ها از جمله موقعیت مکانی و عکس ها را در سرور خود ثبت می کند.
مدیر عامل Zimperium ، شریدار میتال گفت که این بدافزار احتمالاً بخشی از یک حمله هدفمند است.
میتال گفت: “این به راحتی پیچیده ترین چیزی است که ما دیده ایم.” “من فکر می کنم وقت و تلاش زیادی برای ایجاد این برنامه صرف شده است. ما معتقدیم که برنامه های دیگری نیز از این قبیل در بازار وجود دارد و ما با تمام توان سعی می کنیم آنها را در اسرع وقت پیدا کنیم. “
تصویری از بدافزار که به عنوان یک به روزرسانی سیستم در تلفن Android اجرا می شود. بدافزار می تواند کنترل کامل دستگاه آسیب دیده را در دست بگیرد. (تصویر: Zimperium)
فریب کاربران برای نصب یک برنامه مخرب ، روشی ساده اما موثر برای به خطر انداختن دستگاه قربانی است. به همین دلیل دستگاه های اندرویدی به کاربران هشدار می دهند که برنامه هایی را از خارج از فروشگاه گوگل استور نصب نکنند. اما بسیاری از دستگاه های قدیمی، برنامه های جدید را اجرا نمی کنند، بنابراین کاربران را مجبور می کنند به نسخه های قدیمی برنامه های خود از فروشگاه های متفرقه اعتماد کنند.
میتال تأیید کرد که این برنامه مخرب هرگز در Google Play وجود نداشته است. اما سخنگوی گوگل توضیحی درمورد اینکه شرکت برای جلوگیری از ورود بدافزار به فروشگاه برنامه Android چه اقداماتی انجام داده است نداد. برخی از بد افزار های مخرب قبلا از سد فیلتر های گوگل عبور کرده اند.
این نوع بدافزار دسترسی گسترده ای به دستگاه قربانی دارد و به اشکال و نامهای مختلفی ارائه می شود ، اما عمدتا کار های مشابهی را انجام می دهد. در روزهای ابتدایی گسترش اینترنت ، تروجان های دسترسی از راه دور یا RAT ، به بدافزار ها اجازه می دادند تا از طریق وبکم ، از قربانیان جاسوسی کنند. امروزه ، برنامه های نظارت بر کودک اغلب برای جاسوسی از همسر فرد ، که به عنوان stalkerware یا spouseware شناخته می شوند ، تغییر کاربری می دهند.
سال گذشته ، TechCrunch در مورد برنامه stalkerware KidsGuard – ظاهراً برنامه نظارت بر کودکان – گزارش داد که از “به روزرسانی سیستم” مشابهی برای آلوده کردن دستگاه های قربانیان استفاده می کرد. اما محققان نمی دانند چه کسی این بدافزار را ساخته یا چه کسی را هدف قرار داده است.
