جاسوس افزار اندرویدی کریسائور (Chrysaor)
یکشنبه بیستم فروردین ۱۳۹۶ ساعت 9:44 توسط موسسه ترسیم رایانه شرق | 
به تازگی یکی از پیچیده‌ترین نرم افزارهای جاسوسی تلفن همراه شناسایی شده که به خاطر قابلیت خود تخریبی هوشمندانه، دست کم به مدت سه سال غیر قابل تشخیص باقی مانده بود.

این جاسوس افزار اندرویدی کریسائور (Chrysaor) نام دارد و در  حمله‌های هدفمند علیه فعالان و روزنامه نگاران اسرائیل و گرجستان، ترکیه، مکزیک، امارات متحده عربی و کشورهای دیگر استفاده شده است.
کریسائور توسط محققان شرکت‌های Lookout و گوگل مورد شناسایی قرار گرفته و به نظر می‌رسد توسط یک شرکت جاسوسی اسرائیلی به نام NSO Group Technologies ساخته شده است. آن‌ها در پشت جاسوس افزار پگاسوس (Pegasus) iOS نیز بوده‌اند؛ بدافزاری که در سال گذشته در حمله‌های هدفمند علیه فعالان حقوق بشر در امارات متحده عربی به کار گرفته شده بود.
این شرکت اسرائیلی ادعا می‌کند قادر به تولید پیشرفته‌ترین نرم افزارهای جاسوسی تلفن همراه در جهان است و آن‌ها را به دولت‌ها، سازمان‌های اجرای قانون و همچنین رژیم‌های دیکتاتوری سراسر جهان می‌فروشد.
کریسائور تازه کشف شده، یک نرم افزار جاسوسی نصب شده بر روی 36 دستگاه اندرویدی است. محققان بر این باورند قربانیان خیلی بیشتر از این آمار هستند و به احتمال زیاد آن‌ها گوشی‌های خود را فرمت کرده و یا به روز رسانی کرده‌اند.
به گفته گوگل، این برنامه هرگز در فروشگاه رسمی گوگل پلی وجود نداشته و فقط از طریق Verify Appss شناسایی شده است. Verify Apps در اصل خط آخر دفاعی است که گوگل برای حفاظت  از کاربران اندروید در برابر اپلیکیشن های مخرب  طراحی کرده است.

گوگل با قربانیان این جاسوس افزار تماس گرفته و از آن‌ها خواسته این برنامه را از روی دستگاه‌های خود حذف نمایند. همچنین این شرکت یک سری تغییرات در Verify Apps ایجاد نموده تا به محافظت از تمام کاربران دست بزند.
درست شبیه به جاسوس‌افزار پگاسوس iOS، کریسائور اندرویدی نیز عملکردهای جاسوسی مختلفی را بر عهده دارد که از جمله می‌توان به موارد زیر اشاره کرد:
– استخراج داده‌های برنامه‌های محبوب از جمله جیمیل، واتس اپ، اسکایپ، فیس بوک، توییتر، وایبر و Kakao
– کنترل دستگاه از راه دور با استفاده از دستورهای مبتنی بر SMS
– ضبط زنده صوتی و تصویری
– keylogging و گرفتن اسکرین شات
– غیر فعال کردن به روز رسانی‌های سیستم برای جلوگیری از رفع آسیب پذیری
– جاسوسی تماس‌ها، پیام‌های متنی، ایمیل‌ها و تاریخچه مرورگر
– خود تخریبی برای فرار از تشخیص.
محققان می‌گویند اگر این جاسوس افزار احساس کند به زودی مورد شناسایی قرار خواهد گرفت، بلافاصله خود را حذف می‌کند. به همین دلیل سال هاست پنهان باقی مانده است.
محققان معتقدند APK کریسائور، از پیام‌های فیشینگ SMS مانند توزیع شده و این درست شبیه به پخش شدن پگاسوس در دستگاه‌های iOS است. پگاسوس از چندین آسیب پذیری زیرو دی سیستم عامل iOS اپل برای جیلبریک کردن دستگاه‌های هدف استفاده می‌کرد اما کریسائور از یک اکسپلوئیت روتینگ- اندرویدی به نام Framaroot بهره برداری می‌کند و از این طریق به روت کردن دستگاه می‌پردازد و کنترل کامل سیستم عامل را به دست می‌گیرد.
از آنجا که کریسائور از سال 2014 به اعمال خرابکارانه خود دست زده، این امکان وجود دارد که حالا شرکت سازنده آن آسیب پذیری های زیر دی را در اندروید کشف کرده و از آن‌ها برای توسعه جدیدترین نسخه کریسائور بهره گیری نمایند.

چگونه از دستگاه‌های اندرویدی خود در مقابل هکرها محافظت کنیم؟
هم رسان: گوگل به کاربران توصیه کرده تنها از منابع معتبر برنامه‌ها و اپلیکیشن های خود را دانلود و از دستگاه خود با PIN یا رمز عبور محافظت نمایند.

بدافزار خطرناک Chrysaor درواقع جاسوس‌ افزاری است که گفته می‌شود توسط NSO Group Technologies توسعه  یافته است. این گروه اسرائیلی در زمینه توسعه و فروش حفره‌ها و باگ‌های نرم‌افزاری تبحر ویژه‌ای دارد. آن‌طور که از شواهد امر پیدا است، بدافزار Chrysaor از مشتقات جاسوس‌افزار Pegasus است که پیش از این برای iOS طراحی شده بود. جاسوس‌افزار Chrysaor از طریق اپلیکیشن‌هایی که از منابعی به‌جز پلی استور گوگل دانلود شده‌اند، راه خود را به گوشی‌های قربانیان پیدا می‌کند.

بر اساس گزارش شرکت امنیتی Lookout، بدافزار Pegasus و نمونه اندروید آن یعنی Chrysaor، ابزارهای جاسوسی هستند که با مقاصد ویژه‌ای طراحی شده‌اند. 

تیم امنیتی اندروید در این خصوص می‌گوید:

معمولا توسعه‌دهندگان PHA (اپلیکیشن‌های با پتانسیل خطرآفرینی) سعی می‌کنند بدافزارهای خطرناک خود را تا حد ممکن روی تعداد بیشتری از دستگاه‌های الکترونیکی نصب کنند. این در حالی است که برخی از توسعه‌دهندگان این بدافزارها، با صرف هزینه‌های بالا و وقت زیاد سعی می‌کنند بدافزار خود را به تعدادی محدود و مشخص از دستگاه‌ها برسانند. به این دست حملات، حمله‌های هدفمند گفته می‌شود.

تیم امنیت اندروید مدعی شده این جاسوس‌افزار روی حدود ۳۶ دستگاه اندروید شناسایی شده است. همین امر، در کنار قابلیت‌ها و توانایی‌های ویژه این جاسوس‌افزار، حکایت از آن دارد که Chrysaorr بیشتر برای مقاصد جاسوسی طراحی شده است تا مقاصدی نظیر سرقت اطلاعات یا پول از کاربران معمولی. با این مقدمه، در ادامه به برخی قابلیت‌های Chrysaor اشاره خواهیم کرد:

 جمع‌آوری اطلاعات: این بدافزار قابلیت جمع‌آوری اطلاعات کاربران از قبیل، تنظیمات پیامک، متن پیامک‌ها، گزارش‌ تماس‌ها، تاریخچه مرورگر، اطلاعات تقویم، لیست مخاطبان، ایمیل‌ها و پیام‌های موجود در نرم‌افزارهای پیام‌رسان نظیر واتس‌اپ، توییتر، فیس‌بوک، کاکائو، وایبر و اسکایپ را خواهد داشت.

 گرفتن اسکرین‌شات: این بدافزار می‌تواند تصویری از محتویات صفحه‌نمایش شما به ثبت برساند.

ثبت ورودی‌های صفحه‌کلید: جاسوس‌افزار یادشده امکان ثبت و ضبط آنچه را تایپ می‌کنید نیز خواهد داشت.

شنود مکالمات: این بدافزار، به‌طور کاملا بی‌سروصدا به تماس‌های تلفنی فرد قربانی پاسخ می‌دهد و در پس‌زمینه گوشی در حال فعال باقی می‌ماند. به این ترتیب، تماس‌گیرنده می‌تواند مکالمات انجام‌شده در محدوده پوشش میکروفون گوشی فرد قربانی را استراق سمع کند. اگر قربانی قفل صفحه‌نمایش خود را باز کند، بدافزار تماس را قطع و تنظیمات و داده‌های مربوط به تماس را بازنشانی خواهد کرد.

 همان‌طور که شاهد هستید، قابلیت‌های یادشده معمولا در بدافزارهای رایج در حوزه امنیت گوشی‌های هوشمند مشاهده نمی‌شود. نکته قابل توجه و البته ترسناک آن است که بدافزار Chrysaor در صورت لو رفتن می‌تواند خودش را از روی دستگاه آلوده پاک کند. در واقع این جاسوس‌افزار از امکان «خودکشی» برخوردار است.

به‌عنوان مثال، اگر اپلیکیشن آلوده به این بدافزار نتواند بعد از ۶۰ روز با سرور گوگل ارتباط برقرار کند، این ظن می‌رود که کشف بدافزار صورت گرفته باشد و از همین رو، جاسوس‌افزار خود را از روی گوشی آلوده حذف خواهد کرد. این امر می‌تواند از طریق دستوری که از سرور برای بدافزار ارسال می‌شود، مدیریت شود.

برای برطرف کردن این آلودگی و یا حداقل، مختل کردن فعالیت این بدافزار، تیم امنیتی اندروید تماس‌هایی با کاربرانی که احتمال می‌رود دستگاه‌های آن‌ها آلوده شده باشد، برقرار کرده است. علاوه بر این، سازوکار غیرفعال کردن اپلیکیشن‌های آلوده و ایجاد تغییرات در نحوه شناسایی و تأیید اپلیکیشن‌ها نیز به‌منظور حفاظت از کاربران، در دستور کار قرار گرفته است.

در نظر داشته باشید که بنا بر گزارشات منتشرشده، تاکنون چیزی حدود ۳۶ دستگاه از مجموع ۱.۴ میلیارد دستگاه اندروید به این بدافزار آلوده شده‌اند. با این تفاسیر، شانس آنکه دستگاه شما هم در لیست نمونه‌های آلوده باشد بسیار کم است. بدون توجه به این آمار و ارقام، تیم امنیتی اندروید پیشنهاد کرده است که با پیروی از پنج راهکار، امنیت دستگاه‌های اندروید خود را تأمین کنید:

  • نصب برنامه‌ها از منابع معتبر: اپلیکیشن‌های اندروید را تنها از منابع معتبر مانند پلی استور گوگل، دانلود و نصب کنید. در نظر داشته باشید که هیچ نمونه نرم‌افزار آلوده به Chrysaor در گوگل پلی یافت نشده است.
  • فعال کردن قفل ایمن صفحه‌نمایش: از پین، الگو یا گذرواژه‌ای که به یادآوردن آن برای شما ساده و حدس زدن آن برای دیگران دشوار باشد استفاده کنید.
  • به‌روزرسانی دستگاه: دستگاه اندروید خود را با نصب جدیدترین بسته‌های نرم‌افزاری امنیتی، به‌روزرسانی کنید.
  • استفاده از سیستم تأیید نرم‌افزارها: اطمینان حاصل کنید که سیستم تأیید سلامت برنامه‌ها روی گوشی شما فعال است. در این راه می‌توانید از نرم‌افزارهای امنیتی طرف ثالث هم استفاده کنید.
  • فعال کردن سیستم مکان‌یابی گوشی: روش پیدا کردن موقعیت مکانی گوشی با استفاده از Android Device Manager را تمرین کنید؛ زیرا احتمال گم کردن گوشی شما بیشتر از احتمال نصب بدافزار روی آن است.
مشخصات
رسانه خبری امنیت اطلاعات موسسه نرم افزاری ترسیم رایانه شرق
ارائه دهنده محصولات امنیتی ( آنتی ویروس ، اینترنت سکیوریتی ، توتال سکیوریتی ،فایروال )
www.tarsiem.ir
09203094689
telegram.me/tarsiemrayaneh
telegram.me/itmsecurity
tarsiem@yahoo.com
موضوعات وب
پیوندها
آرشیو وب

دریافت کد آمارگیر سایت

B L O G F A . C O M

تمامی حقوق برای رسانه خبری امنیت اطلاعات محفوظ است .