یک بدافزار جاسوسی موبایلی بسیار پیشرفته با نام ZeroDayRAT بهتازگی در کانالهای تلگرامی مشاهده شده؛ ابزاری که به گفته محققان امنیتی، عملاً کنترل کامل گوشی قربانی را در اختیار مهاجم قرار میدهد. این بدافزار که بهصورت تجاری عرضه میشود، نهتنها قادر به نظارت همهجانبه بر دستگاه است، بلکه امکان سرقت مستقیم اطلاعات مالی و داراییهای دیجیتال را نیز فراهم میکند.
به گزارش میهن بلاکچین، شرکت امنیت سایبری iVerify در گزارش جدید خودش اعلام کرده که بدافزار ZeroDayRAT چیزی فراتر از یک ابزار هکری معمولی است و کارشناسان آن را «یک کیت کامل نفوذ به موبایل» توصیف کردهاند.
کیت جاسوسی کامل برای کنترل از راه دور گوشی
بر اساس گزارش محققان، ZeroDayRAT یک ابزار آماده برای نفوذ است که خریداران آن میتوانند بهسادگی برای خود زیرساخت جاسوسی راهاندازی کنند.
دنیل کلی (Daniel Kelley)، پژوهشگر امنیتی در شرکت iVerify درباره نحوه استفاده از این کیت میگوید:
این کیتها معمولاً به خریدار یک پنل مدیریتی و یک سازنده بدافزار میدهند. اپراتور سرور خودش را راهاندازی میکند، پنل را تنظیم میکند و بعد با ابزار سازنده، فایلهای آلودهای تولید میکند که به زیرساخت او متصل میشوند.
او میگوید توزیع بدافزار کاملاً به مهاجم بستگی دارد؛ از لینکهای فیشینگ و پیامکهای جعلی گرفته تا اپلیکیشنهای آلوده در منابع غیررسمی یا مهندسی اجتماعی. در رابط این ابزار حتی بخشی با عنوان «اکسپلویت» دیده شده، اما هنوز مشخص نیست دقیقاً چه نوع آسیبپذیریهایی را هدف میگیرد.
اما این بدافزار پس از نصب روی گوشی قربانی، چه اندرویدی باشد یا iOS، تقریبا هر دادهای، از مشخصات فنی دستگاه و نسخه سیستمعامل گرفته تا وضعیت باتری، کشور، اطلاعات سیمکارت، اپراتور مخابراتی، استفاده از برنامهها و حتی تاریخچه فعالیتهای روزانه را جمعآوری میکند.
این بدافزار همچنین میتواند:
- موقعیت مکانی کاربر را با GPS ثبت کند و مسیرهای رفتوآمد او را نمایش دهد
- پیامکهای اخیر را پیشنمایش کند
- استفاده از اپلیکیشنها را همراه با زمان و محتوا ثبت کند
- و اطلاعات حسابهای کاربری سرویسهای مختلف را استخراج کند
که به گفته محققان، این اطلاعات برای اجرای حملات مهندسی اجتماعی هدفمند بسیار ارزشمند هستند.
علاوه بر جمعآوری دادههای ذخیرهشده، مهاجم به وسیله بدافزار ZeroDayRAT میتواند به طور همزمان تصویر دوربین جلو یا عقب گوشی را بهصورت زنده مشاهده کند، صدای محیط را از طریق میکروفون بشنود و صفحهنمایش دستگاه را ضبط کند.
ZeroDayRAT همچنین یک کیلاگر پیشرفته دارد که تمام ورودیهای کاربر از لمس صفحه و حرکات دست گرفته تا تایپ رمز عبور یا باز کردن قفل بیومتریک را ثبت میکند.
در عمل، مهاجم میتواند دقیقاً ببیند کاربر چه کاری انجام میدهد و همزمان چه چیزی تایپ میکند.
سرقت مالی و رمزارز؛ خطرناکترین بخش ماجرا
اما یکی از مهمترین قابلیتهای این بدافزار، سرقت پول و ارزهای دیجیتال کاربران است. به گفته محققان، ماژول سرقت رمزارز این بدافزار بهصورت دائمی کلیپبورد گوشی را پایش میکند که میتواند در نهایت به خالیشدن کیف پولهای ارز دیجیتال کاربران منجر شود.
دنیل کلی در این باره میگوید:
ابزار سرقت رمزارز دائماً آدرسهای کپیشده را بررسی و جایگزین میکند. بنابراین هر زمان کاربر بخواهد پول ارسال کند، دارایی به آدرس مهاجم منتقل میشود.
البته ماژول سرقت این بدافزار بیشتر بر جمعآوری اطلاعات ورود به حساب کاربران مثل نام کاربری و رمزعبور تمرکز دارد. این یعنی مهاجم بعدا میتواند بدون اطلاع صاحب حساب وارد شود و هر کاری انجام دهد و معمولا قربانی زمانی متوجه این ماجرا میشود که خیلی دیر شده است. ZeroDayRAT همچنین قادر به سرقت رمزهای یکبار مصرف (OTP) و دور زدن احراز هویت دومرحلهای است.
ردیابی پیچیده، مهار دشوار؛ معماری طراحیشده برای بقا
یکی از نگرانکنندهترین ابعاد فعالیت این بدافزار، نحوه توزیع و زیرساخت عملیاتی آن است؛ ساختاری که عملاً امکان شناسایی و توقف کامل آن را بهشدت محدود میکند. بررسیهای شرکت امنیتی iVerify نشان میدهد این ابزار برخلاف بسیاری از بدافزارها، یک سرور مرکزی واحد ندارد.
در عمل، هر مهاجم نسخه مستقل خود را اجرا میکند و زیرساخت اختصاصی دارد. این یعنی حتی اگر یک شبکه یا سرور شناسایی و مسدود شود، تأثیری بر سایر اپراتورها ندارد. به بیان دیگر، با مجموعهای از هستههای پراکنده و مستقل روبهرو هستیم، نه یک سیستم متمرکز که بتوان آن را از کار انداخت.
از سوی دیگر، شناسایی سازندگان اصلی نیز تقریباً غیرممکن به نظر میرسد. ردپاهای دیجیتال عمداً مبهم و متناقض طراحی شدهاند. این ابزار به چندین زبان تبلیغ میشود و نشانههای جغرافیایی مختلفی را بهطور همزمان نمایش میدهد.
دنیل کلی میگوید:
مواردی دیدهایم که پیامها به زبان چینی منتشر شدهاند، دامنهها روسی بودهاند و در عین حال کاربران هندی هدف حمله قرار گرفتهاند. این ناهماهنگیها تصادفی نیست و بهنظر میرسد عمداً برای گمراهسازی طراحی شده باشد.
در چنین شرایطی حتی اگر کانالهای فروش در تلگرام، مسدود شوند، توسعهدهندگان میتوانند ظرف مدت کوتاهی بستر جدیدی ایجاد کرده و فعالیت را از سر بگیرند؛ مسئلهای که تلاش برای مقابله پایدار را بسیار دشوار میکند.
تشخیص آلودگی ZeroDayRAT؛ وقتی نشانهها دیر ظاهر میشوند
طبق ارزیابی محققان، نشانههای فنی قطعی و قابل اتکایی برای شناسایی آلودگی وجود ندارد. برخی تغییرات غیرعادی مانند کاهش محسوس عمر باتری ممکن است هشداردهنده باشد، اما بهتنهایی نمیتواند نشانه قطعی تلقی شود.
در بسیاری از موارد، اولین علائم واقعی زمانی آشکار میشوند که آسیب وارد شده است. معمولاً کاربران با نشانههایی مثل تراکنشهایی که خودشان انجام ندادهاند یا ورودهای غیرمجاز به حسابهای شخصی و مالی متوجه این مشکل میشوند و همین تأخیر در آشکار شدن علائم، خطر این بدافزار را دوچندان میکند.
