تیمی از محققان امنیت سایبری از جنبههای پنهان بدافزاری رونمایی کردند که به تازگی توسط شرکت تحریم شده «رایانش هوشمند رانا» (رانا) توسعه یافتهاند تا توسط گوشیهای «اندروید» از شهروندان ایرانی جاسوسی کنند.
هفدهم سپتامبر ۲۰۲۰ میلادی، شرکت رایانش هوشمند رانا و ۴۵ تن از کارکنان، مدیران و برنامهنویسان آن به صورت رسمی به لیست تحریمهای ایالات متحده اضافه شدند. وزارت خزانهداری امریکا در بیانیه رسمی خود، وزارت اطلاعات جمهوری اسلامی را متهم کرد که در پوشش این شرکت، اقدام به استخدام افراد متخصص، تحصیلکرده و استعدادهای سایبری کرده است تا از شهروندان ایرانی، مخالفان حکومت در داخل و خارج از کشور، روزنامهنگاران، کارمندان سابق دولتی، محیطبانان، پناهندگان، دانشجویان، اعضای هیاتعلمی، کارمندان سازمانهای غیردولتی بینالمللی و غیره جاسوسی کند و آنها را تحت فشار و سرکوب قرار دهد.
شرکت رانا همچنین متهم شده که با پشتیبانی از گروه هکری موسوم به «تهدید پیشرفته مستمر ۳۹» (APT39) جرایم سایبری متعددی را در نقاط مختلف دنیا سازماندهی کرده و خسارتهای مادی و معنوی فراوانی را به افراد، شرکتها و سازمانهای خصوصی و دولتی وارد کرده است.
همزمان با قرارگرفتن نام رانا در لیست تحریمها، پلیس فدرال امریکا (افبیآی) نیز گزارشی را در خصوص فعالیتهای مجرمانه این شرکت پوششی منتشر کرده و مشخصات هشت بدافزاری که شرکت رانا از آنها برای هک و نفوذ بهره میبرده را در اختیار عموم قرار داده است؛ از جمله، بدافزار «اسکریپتهای مخرب» (Visual Basic Script) (VBS) که از طریق مخفی شدن در محصولات مایکروسافت و با مهندسی اجتماعی برای هدف ارسال میشد، بدافزار «AutoIt Malware» با عملکردی مشابه اسکریپتهای مخرب و قابل اجرا با یک لینک آلوده، بدافزارهای «BITS 1.0» و «BITS 2.0» که تکمیل کننده دو مورد بالا هستند، بدافزار «Python-Based» مجری اسکریپتهای مخرب «پایتون» با استفاده از یک فایل فشرده «RAR» و بدافزار ویژه مرورگر «Firefox».
در بخشی از گزارش افبیآی، به بدافزاری ویژه هک سیستم اندروید به نام «Optimizer.apk» و قانون اجرایی آن موسوم به «یارا» (YARA) اشاره شد که قادر بود ضمن بازیابی درخواستهای «HTTP GET» از سرور «C2» و به دست آوردن دادههای دستگاه و فشردهسازی آنها با روش «AES»، درخواستهای مخرب را هم با استفاده از «HTTP POST» به سرور C2 ارسال کند. این به زبان ساده، یعنی کاشت «APK» دارای قابلیت سرقت اطلاعات و دسترسی از راه دور بدون اطلاع کاربر و گرفتن دسترسی ریشهای از دستگاه اندروید قربانی.
اما به تازگی «کارلو زانکی» از شرکت امنیتی «ریورسینگ لبز» (ReversingLabs) در مقالهای نتیجه تحقیقات این شرکت را از تحلیل عمیق نسخههای قدیمی و نسخه توسعهیافته بدافزار Optimizer.apk منتشر کرده و جنبههای پنهان دیگری از عملکرد این بدافزار جاسوسی را در اختیار عموم قرار داده است؛ از آن جمله میتوان به امکان گرفتن مجوز ضبط صدا و عکس، امکان افزودن نقطه دسترسی وایفای (Wi-Fi) سفارشی بدون اطلاع قربانی و همچنین امکان دسترسی به تمام محتوای نرمافزارهای پیامرسانِ واتساپ)، اینستاگرام، تلگرام، وایبر و حتی اسکایپ اشاره کرد.
در این مقاله آمده بررسیهای عمیقی که با استفاده از «پلتفرم تیتانیوم» (Platform Titanium) انجام شده، نشانگر آن است که توسعهدهندگان این بدافزار حتی تلاش نکردهاند گواهینامه «APK Android» را که ساختهاند، دستکم قانونی به نظر برسد.
کارشناسان شرکت ریورسینگ لبز سه نمونه از این بدافزار را با نام مشترک «com.android.providers.optimizer» مورد بررسی قرار دادهاند. تاریخ اعتبار گواهینامه و امضای باینریهای APK این سه نسخه، حکایت از دست کم سه نوبت بازنویسی و توسعه این بدافزار دارند که اولین آن ابتدای سال ۲۰۱۶، دو نوبت در میانه سال ۲۰۱۶ و یک نوبت در انتهای سال ۲۰۱۸ انجام شده است.
مقایسه نسخههای قدیمیتر با نسخه توسعه یافته این بدافزار نشان میدهد که نسخههای قدیمی برای عملکرد صحیح به مجموعهای مجوزها از سیستم اندروید قربانی نیاز داشت. اما در نسخه توسعه یافته، علاوه بر حل این مشکلات، بخشهای تازهای، ازجمله منبع «tmp.tmp» و فایل «libOptimizer.so» به این بدافزار افزوده شدهاند که از آنها برای تولید کلید AES استفاده میشود.
برای بررسی شیوه رمزنگاری و مبهمسازی این بدافزار، کد بایتی «Dalvik» داخل فایل «classes.dex» با استفاده از ابزار متن باز «dex2jar» به یک فایل «جار» (jar) و سپس به «جاوا» تبدیل شد. خروجی غیرکمپایل شده این فرایند حدود ۲۰۰ کلاس و تقریبا ۶۰۰ روش با نامهای مبهم را نشان میداد که به ترتیب به نامهای (a, b, c ...) دسته بندی شده بود.
کمپایل کردن برنامهای است که سطح برنامه مبدا را به زبان مقصد تبدیل میکند.
کارشناسان شرکت ریورسینگ لبز گفتهاند در بین دستورهای این بدافزار، چند دستور وجود دارد که فرضیه خلق این بدافزار را برای اهداف دولتی، از جمله جاسوسی از شهروندان تقویت میکند. امکان عکاسی بدون اجازه قربانی و ضبط صدا با امکان تنظیمات مختلف و همچنین امکان فعال شدن دستگاه در زمانی خاص، حتی اگر صاحب دستگاه آن را خاموش کرده باشد، ازجمله این دستورها است
علاوه براین، دستورهای غیرمعمول دیگری وجود دارد که عموما در بدافزارهای اندروید به چشم نمیخورند؛ مانند امکان خلق یک نقطه دسترسی وایفای و مجبور کردن دستگاه به اتصال به آن.
به اعتقاد این کارشناسان، این ویژگی احتمالا برای جلوگیری از شناسایی تصادفی، به دلیل استفاده غیرمعمول از ترافیک دستگاه اندرویدی استفاده میشود. البته این مودم دوم، توانایی پاسخگویی به شماره تلفنهای خاص و حتی جاسوسی صوتی از صاحب دستگاه را نیز دارد.
علاوه براین، بدافزار Optimizer.apk امکان دریافت دستورات تازه را از طریق پیامک نیز دارا است. بدافزار از طریق رصد هدر فرمان پیامکها، دستورالعمل ارسالی از سوی گردانندگان بدافزار را تشخیص میدهد و دریافت میکند و آن را بر روی دستگاه قربانی اجرا میکند. این فرمانها به صورت پیشفرض، روی «opt -cmd» تنظیم میشوند اما امکان تغییر تنظیمات با مقادیر دیگر نیز وجود دارد.
یکی از امکانات تازه در نسخه ویرایش شده این بدافزار، امکان جاسوسی از برنامههای پیامرسان نصب شده روی دستگاه اندرویدی است که به احتمال فراوان، برای جاسوسی از شهروندان ایرانی مورد استفاده قرار میگیرد. این جاسوسی از طریق نرمافزارهای پیامرسان کنترل شده انجام میشود؛ بستههایی مانند «org.ir.talaeii» که در ایران با عناوینی همچون «تلگرام غیررسمی توسعهیافته در ایران»، «تلگرام طلایی» و یا «تلگرام پیشرفته» تبلیغ میشوند. لیست زیر، انواع تقلبی دیگری از نرمافزارهای پیامرسان معتبر است که از آن برای جاسوسی از شهروندان ایرانی استفاده میشود.
هرنسخه از این بدافزارها دارای فهرستی از دامنههای اینترنتی هستند که از آنها برای کنترل و فرمان استفاده میشود. بررسی تاریخ ثبت و گواهینامههای این دامنهها نشانگر آن است که بدافزار Optimizer.apk از اواخر سال ۲۰۱۴ فعال بوده است و اگر نسخههای قدیمیتری از این بدافزار وجود داشته باشد، به این معنا است که تاریخ ساخت آن حتی به پیش از سال ۲۰۱۴ باز میگردد.
بررسی تاریخچه دامنهها نشان میدهد که شخص ثبت کننده دامنههای گنجانده شده در این بدافزار دقیقا در یک روز، هفت دامنه دیگر، ازجمله «Facedomainpc.com» و «Facedomaintv.com» را نیز به ثبت رسانده است که بعید نیست از این دامنهها نیز برای سوء استفاده از بدافزارها استفاده کرده باشد.
جستوجوهای فنی «ایرانوایر» نشان میدهند که دامنههای فوق را شخصی به نام «احسان میلانی» با ایمیل «es.milani59@gmail.com» از تهران به ثبت رسانده است.
کارشناسان شرکت ریورسینگ لبز در انتهای گزارش خود، با اشاره به هدف قرارگرفتن شهروندان از سوی حکومتهای دیکتاتور، لزوم جدی گرفتن مقوله امنیت کاربران از سوی سازندگان تلفن همراه را گوشزد کرده و توجه به تنظیمات پیشفرض و تنظیمات دستی نرمافزار اندروید را به کاربران یادآور شدهاند. همچنین از کاربرانی که کارمند دولت و یا ادارات حساس هستند، خواستهاند ضمن رعایت مقررات امنیتی سازمان خود، گوشی همراهشان را نیز برای تنظیم مداوم و اسکن بدافزار به متخصصان ارایه کنند
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر