توسعه نرم افزارهای جاسوسی در ژاپن با عناوینی مانند آنتی ویروس

به گزارش سیتنا، این بدافزار برای اولین بار توسط محقق امنیتی ژاپن یوسوکه اوسومی شناسایی شد، این نرم‌افزار در کمپین‌های فیشینگ جعل هویت KDDI توزیع می‌شد. این بدافزار توسط 22 موتور از 62 موتور AV در Virus Total شناسایی می‌شود که نشان دهنده قدرت آن برای پنهان ماندن است.

در گزارش جدید شرکت امنیت سایبری cyble محققان این بدافزار راfackecop نامیدند و اعلام کردند که آن با عنوان anshin sequrity که یک آنتی ویروس محبوب ژاپنی است در حال انتشار می باشد.

پس از تجزیه و تحلیل این بدافزار، محققان اعلام کردند نوع جدید جاسوس افزار دارای قابلیتهای زیر هستند:

پیامک‌ها، مخاطبین، اطلاعات حساب‌ها و لیست برنامه‌ها را جمع‌آوری می‌کند.

پیامک‌های موجود در پایگاه‌داده دستگاه تغییر و یا حذف می‌کند.

جمع‌آوری اطلاعات سخت‌افزار دستگاه IMEI

ارسال پیامک بدون اطلاع کاربر

نرم‌افزارهای جاسوسی از کاربر می‌خواهند تا مجوزهای حساس متعددی را برای انجام اقدامات فوق اعطا کند. هنگامی که کاربران با چنین درخواست‌هایی مواجه می‌شوند به احتمال زیاد آن را اعطا می‌کنند زیرا نرم‌افزارهای امنیتی معمولا به امتیازات بالاتری برای اسکن و حذف تهدیدات شناسایی شده نیاز دارند.

نویسندگان این نرم‌افزار از یک بسته‌بندی سفارشی برای مخفی کردن رفتار واقعی برنامه خود استفاده می کنند.

کد مخرب bitwise xor رمزگذاری شده و در یک فایل و در پوشه‌ای خاص ذخیر می‌شود و تنها در صورت فراخوانی آن توسط یک زیر کلاس خاص قابل بازگشایی است. علاوه‌بر این fackecop بطور فعال لیست برنامه‌های دستگاه را اسکن می‌کند و در صورت یافتن هرگونه برنامه آنتی‌ویروس یک اعلان به کاربر صادر می‌کند و از آن می‌خواهد تا برنامه آنتی‌ویروس را حذف کند.

طبق تحقیقات انجام شده درمورد نحوه دسترسی fackecop به قربانیان دو روش وجود دارد که عبارتند‌از:

ارسال SMS با لینک‌های مخرب و ارسال ایمیل‌های فیشینگ

به‌عنوان یک قاعده کلی، از کلیک برروی پیوندهای URL که از طریق پیامک و یا ایمیل‌های ناخواسته دریافت می‌شوند، خودداری شود و از نصب نرم‌افزار خارج از فروشگاه گوگل‌پلی اجتناب کنید. علاوه براین، بطور دوره ای بررسی و تایید کنید که google play protect در دستگاه شما فعال باشد و همیشه هنگام نصب یک برنامه جدید درخواست مجوز را بررسی کنید.

انتهای پیام