ردیابی قربانیان روسی با نرم‌افزار جاسوسی جدید

به گزارش کارگروه بین‌الملل سایبربان؛ محققان یک نرم‌افزار جاسوسی را کشف کرده‌اند که قبلاً دیده نشده بود که کاربران اندروید را در روسیه هدف قرار می‌دهد و به طور بالقوه می‌تواند در مناطق دیگر مستقر شود.

به گفته محققان شرکت امنیت سایبری روسی کسپرسکی (Kaspersky)، بدافزار موسوم به «LianSpy» حداقل از سال 2021 فعال بوده است، اما به دلیل تکنیک‌های پیچیده فرار آن تنها در بهار امسال کشف و مورد تجزیه و تحلیل قرار گرفت.

کسپرسکی به رسانه‌های روسی گفت که آنها توانستند 10 هدف نرم‌افزارهای جاسوسی را در روسیه شناسایی کنند، اما از افشای قربانیان خودداری کردند. کارشناسان گفتند که این یک کمپین جاسوسی انبوه نیست، بلکه اپراتورهای جاسوس‌افزار اهداف خاصی را آلوده کرده‌اند.

سازنده و خریدار ابزار ناشناخته باقی مانده است. به گفته کسپرسکی، مهاجمان فقط از خدمات عمومی مانند سرویس ابری «Yandex Disk» روسی به جای زیرساخت‌های خصوصی برای استخراج داده‌های سرقت شده و ذخیره دستورات پیکربندی استفاده می‌کردند که تعیین قطعی گروه هکری پشت این حملات را دشوار می‌کند.

محققان در گزارش خود اعلام کردند :

«همانطور که رویه جهانی نشان می‌دهد، چنین کمپین‌های پیچیده جاسوسی سایبری اغلب توسط گروه‌های وابسته به یک عامل دولتی تحریک می‌شوند.»

توانایی LianSpy

بدافزار LianSpy خود را به عنوان برنامه‌های کاربردی سیستم یا خدمات مالی مانند برنامه پرداخت دیجیتال «Alipay» پنهان می‌کند. اگر نرم‌افزار جاسوسی به عنوان یک برنامه سیستم در حال اجرا باشد، به طور خودکار مجوزهای مورد نیاز خود را برای بهره‌برداری‌های بیشتر دریافت می‌کند. در غیر این صورت، مجوز برای پوشش صفحه، اعلان‌ها، فعالیت پس زمینه، مخاطبین و گزارش تماس‌ها درخواست می‌کند.
پس از فعال شدن، جاسوس‌افزار نماد خود را در صفحه اصلی پنهان و با استفاده از امتیازات مدیر در پس زمینه عمل می‌کند. این نرم‌افزار جاسوسی بی‌صدا و محتاطانه فعالیت کاربر را با رهگیری گزارش تماس‌ها، ارسال لیستی از برنامه‌های نصب شده به سرور مهاجمان و ضبط صفحه نمایش گوشی هوشمند، عمدتاً در حین فعالیت پیام‌رسان، نظارت می‌کند. محققان گفتند که به نظر نمی‌رسد مهاجمان به داده‌های بانکی قربانیان علاقه‌مند باشند.

کسپرسکی توضیح داد که LianSpy یک بدافزار پس از بهره‌برداری است، به این معنی که مهاجمان یا از یک آسیب‌پذیری ناشناخته در دستگاه‌های اندرویدی سوءاستفاده کرده‌اند یا با دسترسی فیزیکی به گوشی‌های هوشمند قربانیان، سفت‌افزار را اصلاح کرده‌اند.

مشخص نیست هکرها چگونه از داده‌هایی که به دست می‌آورند استفاده می‌کنند، اما مطمئن می‌شوند که به طور ایمن در سرورهای خود ذخیره می‌شوند. برای این کار، آنها از یک طرح رمزگذاری استفاده می‌کنند که با آن فقط یک عامل تهدید می‌تواند اطلاعات دزدیده شده را رمزگشایی کند.

این جاسوس‌افزار محققان را به روسیه هدایت کرد زیرا عبارات کلیدی مورد استفاده برای فیلتر کردن اعلان‌ها تا حدی به زبان روسی بود و برخی تنظیمات پیش‌فرض LianSpy شامل نام بسته‌ها برای برنامه‌های پیام‌رسان محبوب در روسیه است. با این حال، رویکردهای غیر متعارفی که نرم‌افزارهای جاسوسی به کار می‌برند، می‌توانند به طور بالقوه در مناطق دیگر نیز اعمال شوند.

ماه ژوئن گذشته، کسپرسکی یک کمپین جاسوسی دیگر به نام عملیات مثلثی (Triangulation) کشف کرد که از 2 آسیب‌پذیری در دستگاه‌های اپل سوء استفاده می‌کرد. این کمپین از سال 2019 فعال بوده و با ارسال «iMessages» با پیوست‌های مخرب به اهداف خود حمله می‌کند.

دولت روسیه این کمپین را به گردن ایالات متحده انداخت و مدعی شد که «هزاران گوشی اپل» را برای جاسوسی از دیپلمات‌های روسی هک کرده است. اَپل این ادعاها را رد کرد و کسپرسکی عملیات مثلثی را به هیچ دولت یا گروه هک شناخته شده‌ای نسبت نداده است.

یوجین کسپرسکی (Eugene Kaspersky)، مدیر اجرایی کسپرسکی، کمپین قبلی را به‌عنوان یک حمله سایبری بسیار پیچیده و حرفه‌ای توصیف کرد که در میان دیگران، چندین آیفون از کارمندان این شرکت اعم از مدیران ارشد و میانی را تحت تأثیر قرار داد.