هشدار پژوهشگران امنیتی درباره بدافزار FurBall

هشدار پژوهشگران امنیتی درباره بدافزار FurBall
تاریخ انتشار : ۰۱ آبان ۱۴۰۱

گروهی از پژوهشگران امنیتی در گزارشی تکان‌دهنده از تلاش برای نظارت روی گوشی ایرانی‌ها ازطریق بدافزار خبر داده‌اند. این بدافزار در قالب اپلیکیشن ترجمه‌ی انگلیسی به فارسی توزیع شده است.

به گزارش گرداب، پژوهشگران امنیتی شرکت ESET موفق‌ شده‌اند نسخه‌ی جدید بدافزار اندرویدی FurBall را شناسایی کنند که به‌ادعای آن‌ها، گروه هکری APT-C-50 در کمپینی با عنوان Domestic Kitten (بچه‌گربه‌ی اهلی) از آن استفاده کرده است. کمپین Domestic Kitten پیش‌تر به‌دلیل انجام عملیات نظارت موبایلی روی شهروندان ایران خبرساز شده بود و به‌نوشته‌ی خبرگزاری WeLiveSecurity، نسخه‌ی جدید FurBall نیز مجدداً ایرانی‌ها را هدف قرار داده است.

پژوهشگران می‌گویند بدافزار FurBall از ژوئن ۲۰۲۱ (خرداد و تیر ۱۴۰۰) در قالب اپلیکیشن ترجمه ازطریق نسخه‌ی کپی‌شده‌ی یکی از وب‌سایت‌های ایرانی توزیع شده است. وب‌سایت اصلی که دفتر مرکزی‌اش در میدان انقلاب تهران قرار دارد، «مقالات و مجلات و کتاب‌های ترجمه‌شده» به کاربرانش ارائه می‌دهد. اپلیکیشن حاوی بدافزار FurBall در وب‌سایت VirusTotal آپلود شد و پژوهشگران امنیتی توانستند ازطریق ابزارهایی ویژه شروع به تجزیه‌و‌تحلیل آن کنند.

براساس ادعای WeLiveSecurity، نسخه‌ی جدید بدافزار FurBall همچون نسخه‌های قبلی با هدف نظارت بر دستگاه کاربران طراحی شده است؛ اما توسعه‌دهندگان در آن تغییراتی اعمال کرده‌اند تا شناسایی‌اش به دست پژوهشگران سخت‌تر شود. گفته می‌شود با وجود اعمال تغییرات، سرویس آنتی‌ویروس ESET همچنان توانسته است اپلیکیشن حاوی FurBall را به‌عنوان ویروس تشخیص دهد.

اپلیکیشن بررسی‌شده‌ی پژوهشگران صرفاً خواستار دسترسی به فهرست مخاطبان گوشی بوده است؛ سیاستی که به‌نظر می‌رسد با هدف شناسایی‌نشدن بدافزار اتخاذ شده است. پژوهشگران می‌گویند که ممکن است این ویژگیِ نسخه‌ی جدید FurBall مرحله‌ی اول حمله‌ای گسترده‌تر ازطریق پیامک باشد.

اگر توسعه‌دهنده‌ی بدافزار مجوزهای اپلیکیشن را گسترش دهد، امکان استخراج انواع دیگری از داده‌ها نظیر متن کلیپ‌بورد، متن پیامک، محل (لوکیشن) دستگاه، فهرست تماس‌ها، تماس‌های صوتیِ ضبط‌شده، متن تمامی نوتیفیکیشن‌های سایر اپلیکیشن‌ها، حساب‌های کاربری موجود در دستگاه، فهرست تمام فایل‌های روی دستگاه، اپلیکیشن‌های در حال اجرا، فهرست اپلیکیشن‌های نصب‌شده و اطلاعات گوشی فراهم می‌شود.

نکته‌ی نگران‌کننده‌تر این است که درصورت گسترش مجوزهای بدافزار، اپلیکیشن می‌تواند دستورهایی برای ثبت عکس و ضبط ویدئو دریافت کند. عکس‌ها و ویدئوها سپس مستقیماً در سرور آپلود می‌شوند. پژوهشگران می‌گویند نسخه‌ای که کاربران ایرانی نصب کرده‌اند، همچنان امکان دریافت دستور از سرور را دارد؛ اما در حالت عادی صرفاً می‌تواند کارهای محدودی انجام دهد: استخراج فهرست مخاطبان، دسترسی به فایل‌های موجود در حافظه‌ی ذخیره‌سازی خارجی، دسترسی به فهرست اپلیکیشن‌های نصب‌شده، کسب اطلاعات ابتدایی درباره‌ی گوشی و فهرست حساب‌های کاربری موجود در دستگاه.

بدافزار FurBall پس از نصب‌شدن روی گوشی، هر ۱۰ ثانیه یک‌ بار با سرورش ارتباط می‌گیرد و خواستار دریافت دستور می‌شود. کارشناسان می‌گویند نسخه‌ی جدید FurBall به‌جز تغییراتی در کد، هیچ قابلیت جدیدی درمقایسه‌با نسخه‌های قبلی ندارد.

گروه هکری APT-C-50 در قالب کمپین Domestic Kitten از حداقل سال ۲۰۱۶ تاکنون، در تلاش بوده است روی گوشی هوشمند کاربران ایرانی نظارت کند. در سال ۲۰۱۸، مؤسسه‌ی Check Point گزارشی مهم با محوریت این کمپین منتشر کرد. یک سال بعد، مؤسسه‌ی Trend Micro بدافزار مشابهی را شناسایی کرد که خاورمیانه را در قالب کمپینی به نام Bouncing Golf هدف قرار می‌داد.

در آن زمان، گفته شد کمپین یادشده ارتباطاتی با Domestic Kitten داشته است. مدتی بعد در همان سال، Qianxin مدعی شد کمپین Domestic Kitten باردیگر در حال حمله به کاربران ایرانی است. در سال‌های ۲۰۲۰ و ۲۰۲۱ نیز، گزارش‌های جداگانه‌ای درباره‌ی بدافزار FurBall منتشر شد.

FurBall بدافزاری اندرویدی است که از آغاز اولین حملات در کمپین Domestic Kitten استفاده و براساس ابزار تجاری KidLogger ساخته شده است. گفته می‌شود توسعه‌دهندگان FurBall از نسخه‌ی متن‌باز KidLogger که هفت سال پیش دردسترس قرار داشت الهام گرفته‌اند.

کارشناسان می‌گویند اپلیکیشن حاوی FurBall ازطریق نسخه‌ی کپی‌شده‌ی یکی از وب‌سایت‌های ایرانی توزیع شده است. به‌طور دقیق‌تر، گفته می‌شود که نسخه‌ی اندرویدی اپلیکیشن پس از کلیک روی عبارت «دانلود اپلیکیشن» روی گوشی هوشمند کاربران دانلود شده است. روی گزینه‌ی دانلود لوگو گوگل پلی دیده می‌شود؛ اما پس از کلیک روی آن از انتقال به گوگل پلی خبری نیست.

کارشناسان می‌گویند استفاده از نسخه‌ی جدید FurBall نشان می‌دهد که برخلاف تصور برخی از افراد، کمپین Domestic Kitten همچنان فعال است و به هدف‌قراردادن ایرانی‌ها ادامه می‌دهد. فرد یا گروهی که مسئول این کمپین است، این بار به‌جای توزیع بدافزاری همه‌کاره نسخه‌ای اصلاح‌شده با قابلیت‌های محدودتر روی گوشی‌ها توزیع می‌کند.

توصیه می‌کنیم نه‌تنها روی گوشی، بلکه روی تمامی دستگاه‌های خود همواره آنتی‌ویروس نصب کنید. همچنین به‌غیر از فروشگاه‌های رسمی مثل اپ استور و گوگل پلی، اپلیکیشن‌های مدنظرتان را از جای دیگری دانلود نکنید.