ردیابی جاسوس‌افزارها در هنگام مسدود بودن تلگرام در ایران

هم‌رسانی:

متن زیر خلاصه‌ی اجرایی گزارش Qurium Media Foundation درباره‌ی افزایش جاسوس‌افزارها در زمان مسدود شدن تلگرام در دی ماه ۱۳۹۶ است. متن کامل دو گزارش این سازمان به انگلیسی در آدرس‌های زیر دسترس است:

گزارش اول:

 https://www.qurium.org/wp-content/uploads/2018/02/QMF_tracking_mobile_spyware_iran_rc1.2.pdf

گزارش دوم:

https://www.qurium.org/alerts/iran/fake-mobile-apps-in-iran-when-spyware-and-click-fraud-can-put-millions-of-unaware-users-at-risk/

خلاصه‌ی اجرایی گزارش اول:

“در اولین هفته‌ی ماهِ ژانویه‌ی سال 2018، سازمان کورییِم (Qurium) گزارش‌های متعددی از ایران، مبنی بر توزیع گسترده‌ی پیوندهایی که شامل دانلود اپلیکیشن‌های وی‌پی‌انِ جعلی بودند، دریافت کرد. اپلیکیشن‌های اندرویدِ جعلی که از طریق پیامک پخش شده بودند، با سوء استفاده از مسدود شدن تلگرام، سعی در گمراه کردن کاربران برای نصب این اپلیکیشن‌ها داشتند.

تا جایی که ما می‌دانیم، دو نمونه بدافزارِ متفاوت در هفته‌ی اولِ ژانویه پخش شد. اولین اپلیکیشن‌ جعلی “فیلترشکن آمدنیوز” (Amadnews VPN) نام داشت و در حوزه‌ی آمازون استوریج (Amazon Storage) قرار داشت.  نمونه‌ی دوم که هویت نرم‌افزار “psiphon6”را جعل کرده بود، ابتدا در سرویس ذخیره‌ی مجازیِ Backstory.com و سپس در serverclient12.tk قرار داشت.

تحلیل‌های جزئیِ نمونه‌های جمع‌آوری شده نشان می‌دهد که این اپلیکیشن‌های اندروید توانایی نفوذ به حریم شخصی و دسترسی به تمامی اطلاعات شخصیِ موجود در دستگاه‌های آلوده را، برای حمله‌کنندگانی که پشت نرم‌افزارِ جعلی سایفون۶ قرار دارند، فراهم می‌سازند. این بدافزارها از طریق خدماتِ اطلاع‌رسانیِ گوشی‌‌های همراه در ایران، pushe.co، از راه دور کنترل می‌شوند و با دستیابی به فرآیند احراز هویت دو عاملی، قابلیت جاسوسیِ پیامک را دارند. علاوه بر این، حمله کننده می‌تواند به موقعیتِ مکانیِ گوشی و جزئیات تماس‌های آن دسترسی پیدا کند. ردیابیِ کدِ منبعِ بدافزار، با استفاده از منابع اطلاع‌رسانی آزاد، منتهی به شخصی حقیقی به اسم «امیرپارسا ده‌فالی» (Amir Parsa Dehfoli) شد که در یک شرکتِ راه‌اندازی به نام «اد ونچر» (ad-venture.ir) مشغول به کار بوده یا هنوز هم هست.

هفته‌ی پیش، ما یافته‌های خود را دراختیار جامعه‌ی تخصصیِ امنیت که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) نیز عضو آن است، گذاشتیم و انتظار داریم که اطلاعات کاملی از گردانندگان این حمله‌ها و انگیزه‌ی اصلی آن‌ها به دست بیاوریم.”

به ما ایمیل بفرستید

ما را دنبال کنید

اشتراک