ارتباط جاسوس‌افزار KevDroid با گروه نفوذگران کره شمالی

به گفته‌ی شرکت امنیتی Palo Alto Networks، درب پشتی KevDroid اندروید که اخیرا کشف شده است، به گروه نفوذ APT37 کره‌ شمالی مرتبط است.

در اوایل سال جاری مشاهده شد که این گروه نفوذ که به نام‌های Reaper، Group 123، Red Eyes، و ScarCruft نیز شناخته می‌شود، از یک آسیب‌پذیری روز صفرم فلش‌پلیر استفاده می‌کند و گستردگی و پیچیدگی پویش‌های خود را در طول ماه‌های گذشته توسعه داده است.

اخیرا گفته شد که این گروه از طریق رایانامه‌های فیشینگ هدف‌دار قربانیان را با یک جاسوس‌افزار اندرویدی هدف قرار می‌دهد. پژوهش‌گران سیسکو تالوس این بدافزار را که KevDroid نامیده‌اند، تجزیه و تحلیل کردند اما نتوانستند یک ارتباط قوی بین گروه APT37 و این بدافزار پیدا کنند.

با این حال به گفته‌ی شرکت پالوآلتو بدافزار KevDroid در واقع یکی از مجموعه ابزارهای تلفن همراه این گروه است. علاوه‌بر این این پژوهش‌گران امنیتی توانستند یک نسخه‌ی پیشرفته‌تر از این جاسوس‌افزار، همچنین نسخه‌هایی از برنامه‌های قانونی که با تروجان آلوده‌ شده‌اند را پیدا کنند که برای بارگیری این بدافزار مورد استفاده قرار می‌گیرند.

این جاسوس‌افزار اندرویدی در ابتدا به عنوان یک برنامه‌ی ضد بدافزار از شرکت Naver ظاهر شد، این شرکت یک ارائه‌دهنده‌ی سرویس‌های جست‌وجو و وب است که در کره‌ی جنوبی فعالیت می‌کند.

یک پژوهش‌گر از شرکت پالو آلتو به نام Ruchna Nigam متوجه شد که یک نسخه از این بدافزار در آدرس cgalim[.]com قرار دارد، دامنه‌ای که در حال حاضر با حملات غیر مرتبط با تلفن همراه گروه Reaper مرتبط است. این پژوهش‌گر امنیتی اظهار کرد که نسخه‌های جدیدتر این بدافزار بسیار پیشرفته‌تر از نسخه‌های اولیه هستند.

ظاهرا این عامل تهدید از دو نسخه نرم‌افزار آلوده به تروجان برای توزیع نسخه‌های مختلف جاسوس‌افزار اندرویدی استفاده می‌کند. این برنامه‌های قانونی، Bitcoin Ticker Widget و PyeongChang Winter Games، از طریق گوگل‌پلی توزیع می‌شوند، اما نسخه‌های مخرب آن‌ها هرگز در فروشگاه‌های برنامه‌ی رسمی قرار داده نشده‌اند.

Nigam گفت: «این دو برنامه‌ی آلوده، که با یک گواهی‌نامه‌ی مشترک امضاء شده‌اند، برای واکشی بار داده‌ی خود به یک URL مشترک متصل می‌شوند، و مشاهده شده‌ است که یک نسخه‌ی پیشرفته از این جاسوس‌افزار اندرویدی را توزیع می‌کنند. هر کدام از این برنامه‌های مخرب به منظور بارگیری و نصب یک نسخه‌ی خاص از جاسوس‌افزار اندرویدی گروه Reaper ایجاد شده‌اند.»

این برنامه‌ها پس از نصب با نمایش یک پیام از کاربر می‌خواهند که آن‌ها را به‌روزرسانی کند. اگر کاربر این به‌روزرسانی را قبول کند، به جای آن بار داده‌ی مخرب بارگیری شده و با نام AppName.apk ذخیره می‌شود. سپس، این بار داده بارگذاری می‌شود و از کاربر اجازه‌ی نصب می‌خواهد.

این جاسوس‌افزار می‌تواند صدا و تصویر ضبط کند، از صفحه‌ی نمایش عکس بگیرد، فهرست پرونده‌های تلفن همراه را به دست آورد، پرونده‌های خاص را واکشی کند، فهرستی از دستورات را بارگیری کند، اطلاعات دستگاه را جمع‌آوری کند، و دسترسی ریشه‌ای به دستگاه به دست آورد. علاوه‌بر این می‌تواند تماس‌های ورودی و خروجی را ضبط کند، تاریخچه‌های تماس، تاریخچه‌ی پیامک، فهرست مخاطبین، اطلاعات مربوط به حساب‌های ثبت‌شده در تلفن همراه را به سرقت ببرد.

بر خلاف نسخه‌های قبلی این بدافزار که از یک کتابخانه‌ی متن‌باز برای ضبط تماس‌ها استفاده می‌کردند، نسخه‌های جدید و پیش‌رفته‌ی این بدافزار کتابخانه‌ی ضبط تماس خود را پیاده‌سازی کرده‌اند.

Nigam نتیجه‌گیری کرد: «ظهور بردارهای حمله‌ی جدید، به دنبال پیدایش نسخه‌های جدیدی که خود را به عنوان برنامه‌های موجود مانند Winter Olympics مطرح می‌کنند، نشان‌‌دهنده‌ی توسعه‌ی عملیات‌های گروه نفوذ Reaper است.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید