• صفحه نخست
  • اخبار
  • بدافزار WolfRAT واتس‌اپ و فیسبوک مسنجر را مورد هدف قرار می‌دهد

بدافزار WolfRAT واتس‌اپ و فیسبوک مسنجر را مورد هدف قرار می‌دهد

۱۳۹۹/۲/۳۱امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بدافزار اندرویدی جدیدی کشف شده است که تنها اپ‌های پیام‌رسانی محبوب همچون واتس‌اپ و فیسبوک مسنجر را مورد هدف قرار می‌دهد تا بدین‌ترتیب اطلاعات قربانیان اندرویدی را جمع‌آوری کند. نام این بدافزار WolfRAT بوده و تحت توسعه است. این بدافزار اخیراً در کمپین‌هایی که هدفشان کاربران تایلندی بوده مورد شناسایی قرار گرفته است. محققین با اعتماد بالا چنین ارزیابی می‌کنند که این بدافزار توسط Wolf Research–سازمان فعال در حوزه جاسوس‌افزار واقع در آلمان که کارش توسعه و فروش بدافزارهای مبتنی بر جاسوسی به دولت‌هاست- اداره می‌شود. در ادامه با ما همراه شوید تا مبسوط به ساز و کار این بدافزار بپردازیم.

وارن مرسر، پاول راسکاگنرس و ویتور ونتورا محققین تیم Cisco Talos در تحلیل روز سه‌شنبه اینطور توضیح دادند: «جزئیات چت، سوابق واتس‌اپ، مسنجرها و اس‌ام‌اس‌های جهان حاوی اطلاعات مهم و حساسند و افراد اغلب این نکته را حین تعاملات خود با گوشی‌شان پشت گوش می‌اندازند. ما شاهدیم که WolfRAT به طور خاص دارد اپ پیام‌رسان بسیار محبوب و رمزگذاری‌شده‌ در آسیا یعنی لاین را مورد هدف قرار می‌دهد؛ چیزی که نشان می‌دهد حتی کاربر حواس‌جمع هنوز می‌تواند قربانی WolfRAT باشد».

وارن مرسر، مدیر بخش فنی Cisco Talos معنقد است بردار آلودگی از طریق لینک‌های فیشینگ/اسمیشینگ[1] ارسال‌شده به دستگاه کاربران بوده است. محققین پی بردند که دامنه سرور فرمان و کنترل (C2) واقع در تایلند بوده و حاوی ارجاعاتی به غذای تایلندی می‌باشد (سر نخ‌هایی در مورد این تله‌ی احتمالی می‌دهد).

کمپین

WolfRAT وقتی دانلود شد با استفاده از آیکون‌ها و نام‌های پک به خود ظاهر یک سرویس قانونی را مانند گوگل‌پلی یا آپدیت‌های فلش می‌دهد. مرسر می‌گوید اینها بسته‌های کاربردی و معمول هستند که هیچ تعامل کاربری برایشان لازم نیست. بعنوان مثال، این بدافزار از نام بسته (com.google.services) برای اینکه وانمود کند اپ گوگل‌پلی است استفاده می‌کند. مرسر در ادامه چنین می‌گوید: «این نام آنقدری آشنا هست که یک کاربر معمولی فکر بکند مربوط به گوگل است و حتماً بخش لازمی برای سیستم عامل اندروید به حساب می‌آید. اگر کاربر روی آیکون اپ فشار دهد فقط اطلاعات کلی اپ گوگل را که توسط نویسندگان این بدافزار تزریق شده است مشاهده خواهند کرد. این کار برای این است که مطمئن شوند اپ توسط قربانی uninstall نشده است».

محققین با تحقیق بیشتر روی خود WolfRAT متوجه شدند که RAT مبتنی بر بدافزاری موسوم به DenDroid است که پیشتر نشت داده شده بود. DenDroid در سال 2014 کشف شد و در حقیقت یک بدافزار اندرویدی ساده حاوی فرمان‌های جاسوس‌محور برای گرفتن عکس و ویدیو، ضبط صدا و آپلود عکس است. محققین دست‌کم چهار عرضه‌ی بزرگ از WolfRAT را شناسایی کردند و می‌گویند این بدافزار شدیداً تحت توسعه می‌باشد. به لحاظ تایم‌لاین هم محققین نمونه‌هایی را مشاهده کرده‌اند که نشان‌دهنده‌ی فعالیت از ژانویه 2019 هستند؛ با این حال به نقل از مرسر یکی از دامنه‌های C2 در سال 2017 رجیستر شده بود. این نسخه‌ها از خود قابلیت‌های مختلفی نشان دادند؛ از جمله قابلیت ثبت نمایشگر. محققین در طول تحلیلشان روی نمونه‌های اولیه‌ متوجه شدند این قابلیت هرگز توسط این بدافزار استفاده نشده است؛ با این حال در نمونه‌های بعدی ثبت نمایشگر وقتی RAT تعیین کرد واتس‌اپ در حال اجراست شروع به کار نمود.

نسخه‌های بعدی این بدافزار همچنین مجوزهای مختلفی هم داشتند که ACCESS_SUPERUSER و DEVICE_ADMIN درخواست می‌دادند؛ هر دو این مجوزها از نمونه روش‌های رسیدن به به حقوق ممتاز دسترسی روی دستگاه قربانی هستند. مرسر افزود، مجوز دیگری که افزوده شد READ_FRAME_BUFFER است؛ مهمترین API استفاده‌شده در این بخش. زیرا این مجوز می‌تواند توسط یک اپ برای دسترسی به اسکرین‌شات‌های نمایشگر دستگاه فعلی مورد استفاده قرار گیرد (یعنی واتس‌اپ). مضاف بر این قابلیت، نسخه‌های بعدی این بدافزار فعالیت‌های فیسبوک مسنجر، واتس‌اپ و لاین را زیر نظر گرفتند. وقتی این اپ‌ها باز می‌شوند، بدافزار مذکور اسکرین‌شات‌هایی گرفته و آن‌ها را در C2 آپلود می‌کند. محققین به این موضوع اشاره کردند که حذف و اضافه کردن پیوسته‌ی بسته‌ها به همراه مقادیر زیادی کد استفاده‌نشده و به کار بردن تکنیک‌های قدیمی قبیح نشان‌دهنده‌ی متودولوژی ناشی‌گرانه‌ی توسعه است. محققن می‌گویند: «این عامل به شدت ناشی‌گرانه عمل کرده است: هم‌پوشانی‌هایی با کد، کپی/پیست‌های منبع‌باز، بسته‌های ناپایدار و پنل‌هایی که آزادانه باز هستند».

لینک‌های Wolf Research

محققین بعد از شناسایی همپوشانی زیرساخت و ارجاعات رشته (از پیش استفاده‌شده توسط این گروه) این کمپین را به Wolf Research منتسب کردند. این سازمان ظاهراً بسته شده اما عوامل تهدید هنوز فعالند. محققین بر این باورند که مدیران این بدافزار دارند با پوشش سازمانی جدید به نام LokD همچنان به فعالیت خود ادامه می‌دهند. در وبسایت این سازمان، مدیران برای تست محصولات خود آسیب‌پذیری‌های روز صفر توسعه می‌دهند.

به نقل از محققین: «با این حال، به لطف زیرساخت مشترک و نام‌های فراموش‌شده‌ی پنل ما می‌توانیم تضمین دهیم این عامل هنوز در حال فعالیت است و هنوز هم دارد این بدافزار را توسعه می‌دهد. در واقع از این بدافزار از اوسال ماه ژوئن تا به امروز دارد استفاده می‌شود. روی پنل C2 ما متوجه ارتباطی احتمالی بین Wolf Research و سازمان دیگری تحت عنوان Coralco Tech شده‌ایم. این سازمان نیز فعالیتش فناوری رهگیری است».

 

[1] به فیشینگ اس‌ام‌اس گفته می‌شود.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.