کد مطلب:
توسعه نرم افزارهای جاسوسی در ژاپن با عناوینی مانند آنتی ویروس
به گزارش سیتنا، این بدافزار برای اولین بار توسط محقق امنیتی ژاپن یوسوکه اوسومی شناسایی شد، این نرمافزار در کمپینهای فیشینگ جعل هویت KDDI توزیع میشد. این بدافزار توسط 22 موتور از 62 موتور AV در Virus Total شناسایی میشود که نشان دهنده قدرت آن برای پنهان ماندن است.
در گزارش جدید شرکت امنیت سایبری cyble محققان این بدافزار راfackecop نامیدند و اعلام کردند که آن با عنوان anshin sequrity که یک آنتی ویروس محبوب ژاپنی است در حال انتشار می باشد.
پس از تجزیه و تحلیل این بدافزار، محققان اعلام کردند نوع جدید جاسوس افزار دارای قابلیتهای زیر هستند:
پیامکها، مخاطبین، اطلاعات حسابها و لیست برنامهها را جمعآوری میکند.
پیامکهای موجود در پایگاهداده دستگاه تغییر و یا حذف میکند.
جمعآوری اطلاعات سختافزار دستگاه IMEI
ارسال پیامک بدون اطلاع کاربر
نرمافزارهای جاسوسی از کاربر میخواهند تا مجوزهای حساس متعددی را برای انجام اقدامات فوق اعطا کند. هنگامی که کاربران با چنین درخواستهایی مواجه میشوند به احتمال زیاد آن را اعطا میکنند زیرا نرمافزارهای امنیتی معمولا به امتیازات بالاتری برای اسکن و حذف تهدیدات شناسایی شده نیاز دارند.
نویسندگان این نرمافزار از یک بستهبندی سفارشی برای مخفی کردن رفتار واقعی برنامه خود استفاده می کنند.
کد مخرب bitwise xor رمزگذاری شده و در یک فایل و در پوشهای خاص ذخیر میشود و تنها در صورت فراخوانی آن توسط یک زیر کلاس خاص قابل بازگشایی است. علاوهبر این fackecop بطور فعال لیست برنامههای دستگاه را اسکن میکند و در صورت یافتن هرگونه برنامه آنتیویروس یک اعلان به کاربر صادر میکند و از آن میخواهد تا برنامه آنتیویروس را حذف کند.
طبق تحقیقات انجام شده درمورد نحوه دسترسی fackecop به قربانیان دو روش وجود دارد که عبارتنداز:
ارسال SMS با لینکهای مخرب و ارسال ایمیلهای فیشینگ
بهعنوان یک قاعده کلی، از کلیک برروی پیوندهای URL که از طریق پیامک و یا ایمیلهای ناخواسته دریافت میشوند، خودداری شود و از نصب نرمافزار خارج از فروشگاه گوگلپلی اجتناب کنید. علاوه براین، بطور دوره ای بررسی و تایید کنید که google play protect در دستگاه شما فعال باشد و همیشه هنگام نصب یک برنامه جدید درخواست مجوز را بررسی کنید.
انتهای پیام
افزودن دیدگاه جدید