انتشار بدافزار اندرویدی FakeSpy از طریق برنامه‌های کاربردی ادارات پستی

کمپین‌های اسمیشینگ جدیدی که توسط گروه هکری “Roaming Mantis” راه اندازی شده‌اند، کاربران سیستم عامل اندروید را با ابزار “FakeSpy” که معمولاً برای سرقت اطلاعات از آن استفاده می شود، آلوده می‌کنند. این بدافزار که به عنوان برنامه‌ کاربردی مربوط به اداره‌های پست شناخته می‌شود می تواند پیامک‌ها، اطلاعات مالی و سایر اطلاعات حساس را از دستگاه قربانیان خود سرقت کند.

این کمپین که چندین هفته پیش شناسایی شد؛ ابتدا کاربرانی از کشورهای کره جنوبی و ژاپن را هدف حملات خود قرار داده بود اما اکنون تا حدودی گسترش یافته و توانسته کاربرانی از کشورهای چین، تایوان، فرانسه، سوئیس، آلمان، انگلستان و آمریکا را نیز هدف بگیرد. مهاجمان، در اولین مرحله برای آلوده کردن سیستم‌ها از یک پیامک استفاده کرده و کاربران اندروید را به کلیک کردن بر روی یک لینک مخرب تشویق می‌کنند. به این اقدام، فیشینگ پیامکی یا اسمیشینگ هم گفته می‌شود.

 

نحوه فعالیت کمپین بدافزاری FakeSpy

نمونه ای از پیام‌های مورد استفاده در جدیدترین کمپین FakeSpy، هشداری است که به ظاهر از طرف اداره پست ارسال می‌شود. در این پیام، به کاربر اعلام می شود که اداره پست محل سکونت شان قصد ارسال یک بسته برای او را دارد اما هنگام تحویل بسته، وی در منزل حضور نداشته است. لینکی که در این پیام وجود دارد، کاربران را به صفحه وب مخربی هدایت می‌کند که در آنجا از آنها درخواست می‌شود یک فایل APK (پکیج برنامه کاربردی اندروید[1]) را دانلود و نصب کنند.

این APK، یک برنامه کاربردی خاص را دانلود می‌کند که وانمود شده متعلق به اداره پست اصلی (مثل سرویس پستی آمریکا (USPS)) است؛ اما در اصل، بدافزار FakeSpy را بر روی سیستم کاربر نصب می‌کند.  آنگاه بدافزار، مجوزهایی را از کاربر درخواست می‌کند که باعث دسترسی به پیامک‌ها و اطلاعات حساس روی دستگاه او می‌شود.

بدافزار FakeSpy که از سال 2017 میلادی تاکنون مشغول به فعالیت است، امکان دسترسی به لیست مخاطبان موجود بر روی گوشی کاربر را هم داشته و به راحتی می تواند برای آلوده کردن سایر دستگاه‌ها، از شماره های موجود در این لیست استفاده کرده و پیامک مخربی را برای آنها ارسال کند.

محققان بر این باورند که گروه چینی زبان Roaming Mantis، عامل اصلی این حملات هستند زیرا نمایش بدافزار به صورت یک برنامه کاربردی مجاز، ویژگی خاص این گروه هکری است. آخرین کمپین مهم گروه Roaming Mantis، دو سال قبل با یک تروجان بانکی اجرا شد که با عنوان گوگل یا کروم معرفی شده و کاربران سیستم عامل اندروید را در سراسر جهان هدف خود گرفته بود.

محققان، این کد را از کمپینی که در ماه آوریل 2020 اجرا شده بود، تحلیل کرده اند. در این کمپین، نسخه ای از بدافزار Fakespy که به صورت برنامه کاربردی اداره پست تایوان نمایش داده می شد، دانلود می گشت. زمانی که کاربر روی لینک مخرب کلیک می‌کرد، ویژگی PackageInstaller یا ابزار نصب این برنامه کاربردی اجرا شده، مجوز دسترسی را نمایش داده و از کاربر برای نصب آن درخواست تأیید می‌کرد.

محققان دریافته اند که FakeSpy در حین نصب، به مجوزهای مختلفی دسترسی پیدا می‌کند: از جمله مجوزهای خواندن، نوشتن و دریافت پیامک، باز کردن سوکت‌های شبکه و دسترسی به اینترنت، نوشتن بر روی حافظه بیرونی، خواندن اطلاعات از روی حافظه داخلی، دسترسی به اطلاعات شبکه‌ای که دستگاه به آن متصل شده است و غیره.

این برنامه پس از نصب، فعالیت مخرب واقعی را با دانلود مجموعه‌ای از کتابخانه‌های پویا از یک فایل libmsy.so شروع می کند. بعد از آن نیز فایل mycode.jar همراه خودش را اجرا کرده تا بتواند قابلیت‌ها و اجزای مختلف را برای سرقت اطلاعات دانلود کند.

وقتی FakeSpy روی دستگاهی نصب شود، اطلاعات تمام کاربران موجود در لیست مخاطبان دستگاه را جمع آوری کرده و آنها را سرقت می‌کند. این اطلاعات شامل شماره تلفن همراه، مدل دستگاه، نسخه سیستم عامل، اطلاعات بانکی و اطلاعات برنامه‌های کاربردی مربوط به رمزارزها است. همچنین از کاربر خواسته می‌شود که این برنامه را به عنوان برنامه اصلی برای ارسال و دریافت پیامک انتخاب کند تا این بدافزار بتواند بر روی سایر دستگاه‌ها نیز توزیع شود.

گروه Roaming Mantis از ابزار مورد استفاده برنامه نویسان اندروید به نام WebView برای طراحی و تولید برنامه‌های کاربردی جعلی استفاده می‌کند و همین موضوع باعث شده که تولیدات این گروه، به ظاهر معتبر به نظر برسند. این ابزار، یک توسعه محبوب از کلاس View سیستم عامل اندروید است که به برنامه نویسان امکان نمایش یک صفحه وب را بر روی دستگاه تلفن همراه کاربران می دهد.

به گفته Almkias: «بدافزار FakeSpy از این ابزار برای هدایت کاربران به صفحه اصلی درگاه سایت پست، در هنگام راه‌اندازی نرم‌افزار استفاده می‌کند تا بتواند کاربران را بهتر فریب دهد. به این ترتیب این برنامه، به خصوص با توجه به طراحی رابط کاربری و آیکون‌های مورد استفاده در آن، مجاز و معتبر به نظر خواهید رسید».

James McQuiggan، کارشناس آگاهی بخشی امنیتی شرکت KnowBe4 می‌گوید: «در اصل، ماهیت منبع باز بودن پلتفرم اندروید است که موجب شده مهاجمان سایبری همواره آن را مورد هدف قرار دهند؛ چرا که برای اجرای چنین کمپین‌هایی، امکان سوءاستفاده از کد آن را دارند». وی توصیه می‌کند کاربران برای مقابله با این کمپین جدید، پیامک‌های ارسال شده از سوی اشخاص ناشناس را نادیده گرفته، اعتبار این پیام‌ها را از طریق لینک‌های معتبر پیگیری کرده و سپس بر روی لینک ارسال شده کلیک کنند.

محققان اعتقاد دارند کمپین‌های جدید FakeSpy، تنها شروعی از موج جدید حملات Roaming Mantis هستند. به گفته Almkias: «چنین به نظر می‌رسد که طراحان این بدافزار، با جدیت به دنبال پیشرفت آن بوده و بدافزارشان را مجهز به امکانات جدیدی خواهند کرد که باعث افزایش سطح پیچیدگی قابلیت‌های آن و غیرقابل تشخیص بودنش شود».

 

• [1] Android application package

 

منبع: threatpost