به گزارش گرداب، پژوهشگران Fortinet نمونه‌هایی از یک جاسوس افزار اندرویدی را تحلیل کردند که متعلق به خانواده بدافزار BondPath (یا شناخته شده با نام‌های PathCall یا Dingwe) است، این خانواده بدافزار اولین بار در می ۲۰۱۶ شناسایی شد. در جولای ۲۰۱۸، نمونه‌های جدیدی از این بدافزار کشف شد که هنوز تهدیدی برای گوشی‌های هوشمند محافظت نشده بشمار می‌رود.

بدافزار به خوبی در گوشی مخفی می‌شود و پس از اولین اجرا، آیکون آن حذف می‌شود و کاربر هیچ نشانه‌ای از جاسوسی روی دستگاه مشاهده نمی‌کند. این بدافزار در قالب یک برنامه Google Play Store Services نمایش داده می‌شود و توسعه‌دهنده آن  با نام hola درج شده است.

 

بدافزار دارای مجموعه گسترده‌ای از ویژگی‌های جاسوسی از جمله موارد زیر است:

•    ضبط صدا

•    تاریخچه مرورگر

•    تقویم

•    گزارش‌های تماس

•    مخاطب‌ها

•    اطلاعات دستگاه

•    ایمیل‌ها

•    فایل‌های روی گوشی

•    برنامه‌های نصب شده

•    پیامک: ورودی و خروجی

اطلاعات دریافت شده به سرور از راه دور و از طریق پروتکل HTTP ارسال می‌شود. بسته‌ها با AES-ECB توسط PKCS۵ Padding و یک کلید hard code شده رمزگذاری شده‌اند. این اطلاعات نشان می‌دهد که نویسنده بدافزار از دانش کمی در رمزنگاری برخوردار است.

همچنین بدافزار دارای قابلیتی است که وضعیت باتری گوشی را نیز گزارش می‌کند. علاوه بر این، گوشی آلوده می‌تواند از راه دور کنترل شود و گفتگوهای برنامه‌های شبکه‌های اجتماعی از قبیل WhatsApp، Skype، Viber، Line، Facebook و BBM را بدست آورد.

بدافزار به ازای هر گوشی آلوده شده، یک حساب کاربری در پنل مدیریت از راه دور خود می‌سازد. پژوهشگران Fortinet توانستند با رمزگشایی ارتباطات بین بدافزار و پنل مدیریت، به آن وارد شوند. در تصاویر زیر بخش‌هایی از این پنل و امکانات آن مشاهده می‌شود:

  

 

این جاسوس افزار اندرویدی از تکنیک جدیدی استفاده نمی‌کند (اکسپلویتی ندارد و ابهام‌سازی آن ضعیف است) اما ویژگی‌های جاسوسی آن در سطح بالا قرار دارد. 

IoCها:

    ۰۹۱۸c۲۰۵c۶۸۶۷e۲۴۰۸۰f۸۹۵۰ce۸۲f۴۸c۵۶۸۲۲۱۸۷۴۲۹c۳۵cde۳f۳۷f۳۶۵۵۴bff۵۷   •

    ۲ff۵۰۱b۰a۰۶۰۷۰۰۰۲۶۲de۴۰e۶a۸۴da۸adc۳b۹۱a۴f۹۴۳b۹۷۹۷۶ec۵dd۰۹۳۷۶d۲۲۳   •

    ۵e۰cbe۱e۶ab۹۹cbb۲۷۴e۱۸b۰۰d۴۹c۴b۱۶۰fedd۲e۲۵c۷۹a۴۵۵۳۱۹۰۸a۹۲a۳cf۷۹۰   •

منبع: افتا