جاسوسی ZooPark از کاربران تلگرام

کسپرسکی درباره بدافزار ZooPark هشدار داد که کاربران تلگرام را در ایران و خاورمیانه هدف گرفته‌است.

محققان لابراتوار کسپرسکی به‌تازگی ZooPark، یک کمپین جاسوسی سایبری را کشف کرده‌اند که چندین سال است دستگاه‌های اندرویدی کاربران را در خاورمیانه هدف می‌گیرد.

به‌تازگی محققان امنیتی لابراتوار کسپرسکی موردی را یافته‌اند که ظاهرا نمونه‌ای از بدافزار ناشناخته اندروید است. در نگاه اول این بدافزار مورد جدی نبود؛ یک ابزار ساده و صریح برای جاسوسی سایبری!

محققان پس از بررسی بیشتر، متوجه یک نسخه جدید و بسیار پیچیده از همان برنامه شدند. آنها تصمیم گرفتند این بدافزار پیچیده را ZooPark بنامند. عملیات این بدافزار چهار مرحله داشته‌است و در طول سه‌سال گذشته (از سال ۲۰۱۵) همواره از راه‌های پیچیده‌تری برای جاسوسی از کاربران استفاده کرده‌است. ما این بدافزار را به ۴ سطح از ۱ تا ۴ علامت‌گذاری کرده‌ایم که سطح چهارم آن در سال ۲۰۱۷ گسترش یافت.

از لحاظ فنی تکامل بدافزار ZooPark پیشرفت چشمگیری داشته‌است: در سطح اول، این بدافزار که در سال ۲۰۱۵ رویت شده‌بود تنها به جاسوسی از شماره تلفن‌ها و حساب‌های قربانیان می‌پرداخت. سطح دوم، این بدافزار در سال ۲۰۱۶ مشاهده‌شد که اطلاعات حساسی چون تماس‌ها، پیام‌ها، اطلاعات دستگاه و موقعیت مکانی قربانی به سرقت می‌برد. در سطح سوم، حمله توسط بدافزار که در سال جاری کشف شد ضبط مکالمات، جزییات برنامه‌های نصب‌شده، اطلاعات مرورگر و عکس‌های ذخیره‌شده در SD card نیز به قابلیت‌هاای این بدافزار جاسوس اضافه شد. در آخرین سطح که مربوط به سال ۲۰۱۷ است اختیارات این بدافزار بیشتر شد و توانست به اپلیکشن‌های پرطرفدار دسترسی یابد و عملیات اسکرین‌شات، فیلم‌برداری و غیره را انجام دهد.

برخی از برنامه‌های مخرب ZooPark از طریق وب‌سایت‌های خبری و سیاسی در بخش‌های خاص خاورمیانه توزیع می‌شدند. آنها به عنوان برنامه‌های مشروع با اسامی مانند "TelegramGroups" و Alnaharegypt news در برخی کشورهای خاورمیانه به رسمیت شناخته شدند.

پس از آلودگی موفقیت‌آمیز، بدافزار دسترسی به مخاطبان، اطلاعات حساب، تماس‌ها و ضبط تماس‌ها، تصاویر ذخیره‌شده بر روی SD card دستگاه، موقعیت GPS، پیام‌های اس‌ام‌اس، جزییات برنامه‌های نصب شده، داده‌های مرورگر، داده‌های Keylog و کلیپ‌بورد را برای مهاجم فراهم می‌ساخت. قابلیت در پشتی این بدافزار عبارت‌اند از ارسال بی‌صدای اس‌ام‌اس، ایجاد تماس بی‌صدا و اجرای دستورات شِل.

یک تابع مخرب اضافی در این بدافزار، برنامه‌های پیام‌رسان فوری همانند تلگرام، واتس‌اپ، ایمو و همچنین مرورگر وب (کروم) و سایر برنامه‌های کاربردی را مورد هدف قرار می‌دهد. این تابع به بدافزار اجازه می‌دهد تا از دیتابیس داخلی اپلیکیشن‌های مورد حمله قرار داده‌شده سرقت کند.

تحقیقات نشان می‌دهد که مهاجمان در حال تمرکز بر روی کاربران کشورهای مصر، اردن، مراکش، لبنان و ایران هستند. طبق اخبار مطرح‌شده، اعضای سازمان ملل متحد و آژانس‌های کاری یکی از اهداف احتمالی بدافزار ZooPark هستند.

تعداد بسیار زیادی از کاربران از دستگاه‌های موبایل خود به عنوان یک وسیله ارتباطی اولیه یا گاهی اوقات به تنهایی استفاده‌می‌کنند.

کارشناس امنیتی (Alexey Firsh) در لابراتوار کسپرسکی، گفت:

این موضوع مشخص است که این حمله، توسط افرادی است که مورد حمایت دولت‌هایی قرار گرفته‌اند و در حال ساخت مجموعه ابزارهایی هستند تا بتوانند درآمدی کافی برای ردیابی کاربران تلفن‌های همراه داشته‌باشند.

در کل محققان لابراتوار کسپرسکی توانستند حداقل چهار نسل از بدافزار جاسوسی مربوط به خانواده ZooPark را که حداقل از سال ۲۰۱۵ فعال بوده‌اند، شناسایی کنند. محصولات لابراتوار کسپرسکی توانستند با موفقیت این تهدید را شناسایی و سپس آن را مسدود کنند.

منبع: کسپرسکی آنلاین

انتشارات TheProtect در ویرگول: https://virgool.io/TheProtect
کانال TheProtect در تلگرام: https://t.me/TheProtect
کانال TheProtect در آی گپ: https://profile.igap.net/theprotect