اخبار محرمانه - بدافزار به خوبی در گوشی مخفی میشود و پس از اولین اجرا، آیکون آن حذف میشود و کاربر هیچ نشانهای از جاسوسی روی دستگاه مشاهده نمیکند. این بدافزار در قالب یک برنامه Google Play Store Services نمایش داده میشود و توسعهدهنده آن با نام hola درج شده است.
بدافزار دارای مجموعه گستردهای از ویژگیهای جاسوسی از جمله موارد زیر است:
• ضبط صدا
• تاریخچه مرورگر
• تقویم
• گزارشهای تماس
• مخاطبها
• اطلاعات دستگاه
• ایمیلها
• فایلهای روی گوشی
• برنامههای نصب شده
• پیامک: ورودی و خروجی
اطلاعات دریافت شده به سرور از راه دور و از طریق پروتکل HTTP ارسال میشود. بستهها با AES-ECB توسط PKCS5 Padding و یک کلید hard code شده رمزگذاری شدهاند. این اطلاعات نشان میدهد که نویسنده بدافزار از دانش کمی در رمزنگاری برخوردار است.
همچنین بدافزار دارای قابلیتی است که وضعیت باتری گوشی را نیز گزارش میکند. علاوه بر این، گوشی آلوده میتواند از راه دور کنترل شود و گفتگوهای برنامههای شبکههای اجتماعی از قبیل WhatsApp، Skype، Viber، Line، Facebook و BBM را بدست آورد.
بدافزار به ازای هر گوشی آلوده شده، یک حساب کاربری در پنل مدیریت از راه دور خود میسازد. پژوهشگران Fortinet توانستند با رمزگشایی ارتباطات بین بدافزار و پنل مدیریت، به آن وارد شوند. در تصاویر زیر بخشهایی از این پنل و امکانات آن مشاهده میشود:
این جاسوس افزار اندرویدی از تکنیک جدیدی استفاده نمیکند (اکسپلویتی ندارد و ابهامسازی آن ضعیف است) اما ویژگیهای جاسوسی آن در سطح بالا قرار دارد.
IoCها:
0918c205c6867e24080f8950ce82f48c56822187429c35cde3f37f36554bff57 •
2ff501b0a0607000262de40e6a84da8adc3b91a4f943b97976ec5dd09376d223 •
5e0cbe1e6ab99cbb274e18b00d49c4b160fedd2e25c79a45531908a92a3cf790 •
منبع: افتا