توزیع‌ جاسوس افزار در گوگل‌پلی‌

براساس اخبار منتشر شده، تعداد ٣ نرم افزار اندرویدی‌ که‌ در فروشگاه گوگل‌پلی‌ منتشر شده بودند، توسط‌ تیم‌های‌ هکری‌ و با هدف جمع‌آوری‌ اطلاعاتی‌ مانند موقعیت‌ مکانی‌ و فهرست‌ مخاطبان از دستگاه های‌ هدف، مورد استفاده قرار گرفته‌ اند. محققان یک‌ گروه هکری‌ هندی‌ را مسئول توزیع‌ این‌ نرم افزارهای‌ آلوده اعلام نموده اند؛ گفته‌ شده این‌ گروه پیش‌تر سازمان های‌ شناخته‌ شده در جنوب شرق آسیا را هدف قرار داده است‌. در حملات اخیر این‌ گروه که‌ تحت‌ عنوان APT-C-35 نیز شناخته‌ می‌شود، نرم افزارهای‌ آلوده فرآیند جمع‌آوری‌ اطلاعات پایه‌ را به‌ منظور فراهم‌ آوردن زمینه‌ انجام فرآیند آلوده سازی‌ به‌ بدافزار، انجام می‌دهند و در واقع‌ این‌ نرم افزارها در فاز اول حملات استفاده می‌شوند.

نرم افزارهای‌ آلوده، مشتمل‌ بر یک‌ نرم افزار VPN و یک‌ نرم افزار چت‌ بوده اند که‌ هر دو نرم افزار به‌ همراه یک‌ نرم افزار دیگر، توسط‌ یک‌ توسعه‌دهنده خاص در گوگل‌پلی‌ منتشر شده اند که‌ این‌ توسعه‌ دهنده همچنان در گوگل‌پلی‌ فعالیت‌ دارد. البته‌ باید به‌ این‌ نکته‌ اشاره داشت‌ که‌ تعداد دانلود این‌ نرم افزارهای‌ مخرب، پایین‌ می‌ باشد که‌ این‌ نشان دهنده آن است‌ که‌ نرم افزارهای‌ مزبور، علیه‌ اهداف مشخصی‌ مورد بهره برداری‌ قرار گرفته‌اند. این‌ نرم افزارها در زمان نصب‌، مجوزهای‌ خطرناکی‌ را از کاربران درخواست‌ می‌کنند؛ به‌ عنوان مثال، درخواست‌ دسترسی‌ به‌ فهرست‌ مخاطبان کاربر (Read_Contacts) و موقعیت‌ مکانی‌ دقیق‌ دستگاه (Access_Fine_Location) برای‌ انتقال اطلاعات مورد نظر به‌ تیم‌ هکری‌.

لازم به‌ ذکر است‌ برای‌ دستیابی‌ به‌ اطلاعات موقعیت‌ مکانی‌ دستگاه هدف، GPS دستگاه باید فعال باشد در غیر این‌ صورت، نرم افزار آخرین‌ اطلاعات موجود در این‌ خصوص را استفاده خواهد کرد. اطلاعات جمع‌آوری‌ شده، به‌ صورت داخلی‌ و با استفاده از کتابخانه‌ ROOM سیستم‌عامل‌ اندروید ذخیره شده و در ادامه‌ از طریق‌ HTTP Request به‌ سرور C2 مهاجمان ارسال خواهد شد. یکی‌ از مشخصه‌های‌ این‌ گروه، استفاده از رشته‌های‌ رمزنگاری‌ شده توسط‌ الگوریتم‌های‌ AEC/CBC/PKCS5PADDING و به‌ کارگیری‌ تکنیک‌های‌ درهم‌ریختگی‌ می‌باشد.

علاوه بر این‌، مشخصه‌های‌ منحصر به‌ فردی‌ در خصوص فایل‌ های‌ ایجاد شده توسط‌ نرم افزارهای‌ مخرب، وجود دارد. محققان بر این‌ باور هستند که‌ مهاجمان از تکنیک‌ ارسال ایمیل‌های‌ فیشینگ‌ حاوی‌ الصاقیات مخرب، خودداری‌ نموده و به‌ جای‌ آن، اقدام به‌ انجام حملات Spear Messaging از طریق‌ شبکه‌های‌ اجتماعی‌ نظیر تلگرام و واتس‌اپ نموده اند. ارسال پیام به‌ صورت دایرکت‌ در این‌ پلتفرم ها، کاربران را به‌ صورت مستقیم‌ به‌ گوگل‌پلی‌ هدایت‌ خواهد کرد که‌ وجهه‌ قانونی‌ بودن به‌ این‌ نرم افزارها می‌دهد و کاربر به‌ سادگی‌ به‌ دانلود این‌ نرم افزارهای‌ مخرب، ترغیب‌ می‌شود.