یک نرم افزار جاسوسی جدید پیدا شده است که صاحبان گوشی های هوشمند اندرویدی را هدف قرار می دهد.
جاسوس افزار ابزار خطرناکی است که می تواند برای نظارت انتخابی بر قربانیان خاص مورد استفاده قرار گیرد. اغلب قربانیان کارمندان یک شرکت واحد یا ساکنان یک کشور واحد هستند. نرم افزار جاسوسی موبایل جدید، به اسم LianSpy، فعلاً کاربران گوشی های هوشمند اندرویدی را در روسیه هدف قرار می دهد، اما رویکردهای غیرمتعارفی که از آن استفاده می کند به طور بالقوه می تواند در مناطق دیگر نیز اعمال شود. نحوه عملکرد و نحوه محافظت در برابر این تهدید جدید موضوع این پست است.
LianSpy چیست؟
LianSpy در مارس 2024 کشف شده است. با این حال، دادههای کسپرسکی نشان میدهد که حداقل سه سال است که فعال بوده است – به ژوئیه 2021 باز میگردد! چگونه LianSpy برای مدت طولانی در سایه ماند؟ مهاجمان با دقت ردپای خود را می پوشانند. پس از راه اندازی، بدافزار نماد خود را در صفحه اصلی پنهان می کند و با استفاده از امتیازات روت در پس زمینه عمل می کند. این به آن اجازه می دهد تا اعلان های نوار وضعیت اندروید را دور بزند، که معمولاً به قربانی هشدار می دهد که تلفن هوشمند به طور فعال از دوربین یا میکروفون استفاده می کند.
LianSpy خود را به عنوان برنامه های کاربردی سیستم و خدمات مالی پنهان می کند. جالب اینجاست که مهاجمان علاقه ای به داده های بانکی قربانیان ندارند. این جاسوسافزار بهطور بیصدا و محتاطانه فعالیت کاربر را با رهگیری گزارشهای تماس، ارسال لیستی از برنامههای نصب شده به سرور مهاجمان و ضبط صفحه نمایش گوشی هوشمند – عمدتاً در حین فعالیت پیامرسان، نظارت میکند.
LianSpy چگونه کار می کند؟
برخلاف سایر نرم افزارهای جاسوسی که از آسیب پذیری های صفر کلیک سوء استفاده می کنند، LianSpy به برخی اقدامات از جانب قربانی نیاز دارد. پس از راه اندازی، بدافزار بررسی می کند که آیا مجوزهای لازم برای خواندن مخاطبین و گزارش تماس ها و استفاده از پوشش ها را دارد یا خیر. اگر نه، از آنها درخواست می کند. با انجام این کار، یک گیرنده پخش آندروید را برای دریافت اطلاعات در مورد رویدادهای سیستم ثبت می کند و به آن امکان می دهد تا کارهای مخرب مختلف را شروع یا متوقف کند.
LianSpy از امتیازات ریشه به روشی نسبتاً غیر متعارف استفاده می کند. به طور معمول، آنها برای به دست آوردن کنترل کامل بر دستگاه استفاده می شوند. با این حال، در مورد LianSpy، مهاجمان تنها از بخش کوچکی از قابلیتهای موجود برای ابرکاربران استفاده میکنند. جالب اینجاست که از امتیازات ریشه برای جلوگیری از شناسایی آنها توسط راه حل های امنیتی استفاده می شود.
LianSpy یک تروجان پس از بهرهبرداری است، به این معنی که مهاجمان یا از آسیبپذیریها برای روت کردن دستگاههای اندرویدی سوءاستفاده میکنند یا با دسترسی فیزیکی به دستگاههای قربانیان، سفتافزار را اصلاح میکنند. هنوز مشخص نیست که مهاجمان ممکن است در سناریوی قبلی از کدام آسیبپذیری سوء استفاده کرده باشند.
یکی دیگر از ویژگی های LianSpy استفاده ترکیبی آن از رمزگذاری متقارن (یک کلید برای رمزگذاری و رمزگشایی اطلاعات) و نامتقارن (کلیدهای عمومی و خصوصی مجزا) است. قبل از سرقت، داده ها با یک الگوریتم متقارن رمزگذاری می شوند که کلید آن به صورت نامتقارن رمزگذاری می شود. فقط مهاجم کلید خصوصی را در اختیار دارد.
چه کسی پشت LianSpy است؟
سوال خوبیه مهاجمان فقط از خدمات عمومی استفاده می کنند، نه از زیرساخت های خصوصی، که تعیین قطعی گروه هکری پشت این حملات به کاربران گوشی های هوشمند اندرویدی در روسیه را دشوار می کند. هویت پرداخت کننده نیز مشخص نیست، اما همانطور که رویه جهانی نشان می دهد، چنین کمپین های پیچیده جاسوسی سایبری اغلب توسط گروه های وابسته به یک بازیگر دولت-ملت تحریک می شود.
چگونه در برابر نظارت نرم افزارهای جاسوسی محافظت کنیم؟
- برنامه ها را فقط از فروشگاه ها و کاتالوگ های رسمی دانلود کنید، اما به خاطر داشته باشید که نرم افزارهای جاسوسی می توانند حتی در آن ها نیز نفوذ کنند.
- سیستم عامل خود را به طور منظم به روز کنید – همه بدافزارها نمی توانند با ویژگی های امنیتی جدید سازگار شوند.
- از برنامه های معروف توسعه دهندگان مورد اعتماد استفاده کنید. از مشتریان جایگزین برای پیامرسانهای فوری و سایر خدمات خودداری کنید، زیرا ممکن است حاوی کدهای مخرب باشند (در مورد حالتهای جاسوسافزار برای WhatsApp، Telegram و Signal بیشتر بخوانید).
- از آنتی ویروس های معتبر برای شناسایی به موقع نرم افزارهای جاسوسی مانند LianSpy استفاده کنید.
- اگر هنوز محافظت قابل اعتمادی ندارید، از TinyCheck، یک ابزار تشخیص نرم افزارهای جاسوسی استفاده کنید.
- فقط به برنامه ها مجوزهایی را که برای کارکرد نیاز دارند اعطا کنید.
ترجمه:
پیشگامان تجارت امن ایرانیان