جاسوسی بدافزار ZooPark بر گوشی‌های هوشمند اندرويدی

چهارشنبه ۱۹ اردیبهشت ۱۳۹۷
یک کمپین پیچیده از بدافزارها به هکرها اجازه می‌دهد تا به صورت مجازی هر فعالیت انجام‌شده بر روی گوشی آلوده را جاسوسی کنند.
مرکز آپا شریف
SUT-APA-LOGO

به کاربران اندرویدی هشدار داده شده است که یک کمپین پیچیده از بدافزارها به هکرها اجازه می‌دهد تا به صورت مجازی هر فعالیت انجام‌شده بر روی گوشی آلوده را جاسوسی کنند.
این بدافزار می‌تواند اطلاعاتی همچون لیست مخاطبان، تصاویر، لیست تماس‌ها، پیام‌ها و داده‌های مرورگر را از گوشی‌های اندرویدی آلوده به سرقت ببرد. همچنین می‌تواند تماس‌های گوشی را ضبط کند و بی‌سروصدا با شماره‌ها تماس بگیرد.
این نرم‌افزار مخرب که ZooPark نام گرفته است داری ویژگی‌ «ثبت کلید (keylogging)» است؛ بدان معنی که می‌تواند نام‌های کاربری و گذرواژه‌ها را به سرقت ببرد و به یک گوشی فرمان دهد عکس بگیرد. این بدافزار توسط محققان شرکت امنیت سایبری آزمایشگاه کسپرسکی کشف شده است. ZooPark از اواخر ماه ژانویه سال 2015 شروع به حمله به گوشی‌های اندرویدی در مناطق خاورمیانه مانند ایران و مصر کرده است.
عاملین تهدید از چندین نسل این بدافزار به همراه ویژگی‌های جدید در هر نسخه برای آلوده‌سازی دستگاه‌های اندرویدی استفاده می‌کنند. این بدافزار به ۴ سطح از ۱ تا ۴ برچسب‌گذاری شده است که سطح چهارم آن در سال ۲۰۱۷ گسترش یافت.
در سطح اول این بدافزار که در سال ۲۰۱۵ دیده شده بود و نرم‌افزارهای مخرب بسیار ساده را شامل می‌شد هکرهای ZooPark یک نوع بسیار ساده از نرم‌افزارهای مخرب اندروید را منتشر کردند که تنها قادر به سرقت اطلاعات حساب‌های ثبت‌شده در دستگاه قربانی و مخاطبین او بود.
در سطح دوم این بدافزار که در سال ۲۰۱۶ مشاهده شد و نرم‌افزار جاسوسی سبک‌وزن نام گرفت علاوه بر اطلاعات قبلی، اطلاعات مربوط به موقعیت جغرافیایی، متن پیامک‌ها، تماس‌ها و اطلاعات دستگاه به سرقت برده می‌شد.
در سطح سوم از این بدافزار که در همان سال ۲۰۱۶ کشف شد، علاوه بر موارد قبلی، ضبط مکالمات، جزییات برنامه‌های نصب‌شده، اطلاعات مرورگر و عکس‌های ذخیره‌شده در کارت حافظه نیز به قابلیت‌های این بدافزار جاسوسی اضافه شد.
در آخرین سطح علاوه بر موارد قبلی، این بدافزار توانست با دسترسی به برنامه‌های پرطرفدار به فیلمبرداری و عکس از صفحات کاربران بپردازد.
به گفته‌ی محققان، مهاجمان از دو بردار اصلی به نام کانال‌های تلگرام و watering holes برای توزیع ZooPark استفاده می‌کنند که گزینه‌ی دوم ارجحیت دارد. محققان چندین وب‌سایت‌ خبری را یافتند که توسط مهاجمان هک شده است تا بازدیدکنندگان را به سایت‌های دانلودی هدایت کنند که برنامه‌های مخرب ارایه می‌دهند.
به گزارش ZDNet، ویژگی‌های این کمپین بدافزاری نشان‌دهنده‌ی آن است که توسط دولت حمایت می‌شود. به گفته‌ی یکی از محققان آزمایشگاه کسپرسکی به نام Firsh، این کمپین بسیار هدفمند است، به گونه‌ای که کشف این بدافزار را برای محققان به چالشی بزرگ تبدیل کرده است.
آخرین نسخه‌ی این بدافزار، برنامه‌های پیام‌رسان همچون تلگرام، WhatsApp و گوگل کروم را هدف قرار می‌دهد. در این حملات، بدافزار سعی می‌کند پایگاه‌های داده‌ی داخلی برنامه‌ها را به سرقت ببرد. این حملات در کروم بدین صورت است که اعتبارنامه‌های ذخیره‌شده در مرورگر توسط هکرها به سرقت خواهد رفت.
افراد زیادی از تلفن همراه به عنوان وسیله‌ی ارتباطی اصلی یا حتی تنها وسیله‌ی ارتباطی خود استفاده می‌کنند. قطعاً عاملین اصلی این تهدید از طرف دولت که در حال ساخت ابزارگان خود هستند حمایت شده‌اند تا بتوانند کاربران تلفن همراه را به خوبی ردیابی کنند.