جاسوسافزار اندرویدی BusyGasper
خانواده جدید جاسوس های اندروید
سیاسی
بزرگنمايي:
اخبار محرمانه - به گزارش گرداب، این بدافزار BusyGasper نام دارد، قابلیتی دارد که میتواند بر سنسورهای مختلفی در گوشی هدف نظارت داشته باشد. بدافزار بر اساس گزارش اطلاعات حرکتی ثبت شده توسط سنسورها، زمان اجرا و یا توقف فعالیتهای خود را تشخیص میدهد.
پژوهشگران پس از تحلیل عملکردهای BusyGasper، ویژگی جدیدی را در آن یافتند که میتواند سرعت حرکت دستگاه را محاسبه کند. با استفاده از این اطلاعات، جاسوسافزار میتواند زمانی که دستگاه توسط قربانی استفاده نمیشود را تعیین کند و در این حین فعالیتهای مخرب خود را انجام دهد.
یک کارشناس کسپرسکی در تحلیل خود اعلام کرده است که جاسوس افزار از طریق یک دستور، صدای دستگاه را قطع میکند، keyguard را غیرفعال میکند، روشنایی تصویر را به صفر میرساند و بر سنسورهای دستگاه نظارت میکند.
جاسوسافزار BusyGasper بلافاصله پس از بلند کردن گوشی توسط قربانی، عملیاتهای خود را متوقف میکند و با شبیهسازی کلید Home، فعالیتهای مخرب در حال اجرا را از دید کاربر مخفی و minimize میکند. همچنین، جاسوسافزار دسترسی به اطلاعات سایر سنسورها (مانند سنسور فشار و دمای هوا) را نیز دارد که اطلاعات بیشتری را درباره محیط کاربر در اختیار مهاجم قرار میدهد.
با اینکه BusyGasper از 2016 فعال است، اما بطور گسترده منتشر نشده و بنظر میرسد که توسط تنها یک مهاجم کم تجربه نوشته شده باشد. از دلایل کم تجربگی مهاجم میتوان به عدم استفاده از مولفه رمزگذاری شده در بدافزار و همچنین استفاده از یک سرور FTP عمومی و رایگان برای سرور کنترل و دستور (C&C) اشاره کرد. سرور C&C حاوی چندین فایل متنی است که شناسه دستورها و قربانیان در آنها درج شده است. بنظر میرسد که تاکنون این ابزار تنها هفت گوشی را آلوده کرده است که سه مورد آنها برای آزمایش استفاده شدهاند.
این بدافزار پیلودها و دستورهای جدید را از طریق ایمیل مهاجم فراخوانی میکند. همچنین اطلاعات استخراج شده از قربانی نیز به این ایمیل ارسال میشوند. این اطلاعات شامل دادههای شخصی قربانی و پیامهای برنامههای پیامرسان است. مورد دیگر از اقدامات مخرب این بدافزار استخراج SMSهای بانکی قربانی است که حسابی در یکی از این SMSها شناسایی شده که بیش از 10 هزار دلار موجودی دارد. طبق گزارش پژوهشگران، مهاجم تمایلی به سرقت این پول از قربانی نشان نداده است.
علاوه بر این، بدافزار داری قابلیت keylogger نیز هست و مکانهای لمس شده توسط کاربر را ثبت میکند.
نحوه انتقال جاسوسافزار نیز بصورت دستی گزارش شده است و مهاجم باید دسترسی فیزیکی به دستگاه داشته باشد. هیچ مدرکی مبنی بر انتقال از طریق ایمیلهای فیشینگ یا سایر روشها ثبت نشده است. در ادامه لیستی از IOC های مربوط به این بدافزار مشاهده میشود:
مقدار Hash فایلها
9E005144EA1A583531F86663A5F14607
18ABE28730C53DE6D9E4786C7765C3D8
2560942BB50EE6E6F55AFC495D238A12
6C246BBB40B7C6E75C60A55C0DA9E2F2
7C8A12E56E3E03938788B26B84B80BD6
9FFC350EF94EF840728564846F2802B0
BDE7847487125084F9E03F2B6B05ADC3
سرور CnC
/ftp://213,174.157[.]151
منبع: افتا
لینک کوتاه:
https://www.akhbaremahramaneh.ir/Fa/News/21436/