محققان امنیتی یک بدافزار جاسوسی بر تلفن همراه اندروید را کشف کردند که Monokle نامیده می‌شود، و حریم خصوصی کاربران را با دزدیدن اطلاعات کاربر به خطر می‌اندازد و اطلاعات را به سرورهای خود منتقل می‌کند.

محققان Lookout این بد افزار را به کنسول دفاع روسیه STC ارتباط می‌دهند، و این بدافزار از هر دو طرف تهاجمی و دفاعی ابزار موبایل بهره برداری می‌کند.

این بدافزار برای اهداف فردی مورد استفاده قرار می‌گیرد و به سرویس‌های دسترسی اندروید برای تکثیر داده ها متکی است. Lookout متوجه شد که این بدافزار از ارتباط نرم افزار های قانونی و مخرب اندروید که توسط STC تولید می‌شود، استفاده می‌کند.

حضور Monokle در برنامه های اندروید

این بدافزار با روت شدن، قادر به نصب مجوزهای مشخص شده توسط مهاجم برای ایجاد اعتماد می‌شود، . بدین ترتیب، نرم افزارهای مخرب می‌توانند یک MITM روی ترافیک TLS راه اندازی کنند. بدافزار در چندین نسخه از برنامه های قانونی مانندSkype، Google update, Signal, Es Explorer و سایر برنامه های کاربردی مشاهده شده است. نمونه‌هایی از این بدافزار به طور گسترده در همه جا پیدا می‌شود.

این بدافزار تلاش می کند تا در حین بازکردن برنامه‌ها، صفحات را ثبت کنند تا به پین(PIN)، الگو یا رمز عبور دستگاه دسترسی پیدا کند. این بدافزار‌ از سرویس های دسترسی برای گرفتن اطلاعات از برنامه های شخص ثالث مانند Microsoft Word, Google Docs, Facebook messenger, Whatsapp و سایر برنامه ها استفاده می‌کند.

Lookout همچنان وجود یک نسخه iOS از این بدافزار را تأیید می‌کند،  و می‌گوید”کلاس ‌ها و متدهایی در سمت مشتری اندروید وجود دارند که عملا هیچ کاری انجام نمی‌دهند، ممکن است بدافزار به طور تصادفی داخل آن‌ها قرار گرفته باشد.”

 

قابلیت های مانیتورینگ بدافزار

پارتیشن سیستم را برای نصب مجوز مهاجم دوباره راه اندازی می‌کند.

اتصال TLS

دریافت داده‌ای که برای ذخیره رمز عبور کاربر استفاده شده است.

Pincode کاربر را ریست می‌کند.

قادر به تغییر دادن خود می‌باشد تا از نظر مدیرپردازش پنهان باشد.

اطلاعات تقویم را بازیابی می‌کند.

پیام های خارج از دسترسی را  از طریق کلمات کلیدی دریافت می‌کند.

دیکشنری کاربر را بازیابی می‌کند.

صدای محیط اطراف را ضبط می‌کند.

تماس‌های خروجی را وصل می‌کند.

تماس‌ها را ضبط می‌کند.

کلید ورودی را باز می‌کند و تصاویر را می‌رباید و تاریخچه تماس‌ها را بازیابی می‌کند.

عکس‌ها و فیلم‌ها را برمی‌دارد.

اطلاعات WhatsApp, Instagram, VK, Skype and IMO را جمع‌آوری می‌کند.

مخاطبین را بازیابی می‌کند، مجددا دستگاه را راه اندازی می‌کند و برنامه های نصب شده را لیست می‌کند.

اطلاعات Wi-Fi را دریافت می‌کند.

اگر دسترسی موجود باشد، پوسته(shell) دلخواه را اجرا می‌کند.

پیوندهای بین Monokle و STC

STC درگیر توسعه تعدادی از محصولات نرم افزاری است که بر روی امنیت دفاعی اندروید تمرکز کرده است که شامل موتور آنتی ویروس بومی و نرم افزار مانیتورینگ شبکه و سایر محصولات می‌باشد.

براساس گزارش “زیرساخت‌های فرماندهی و کنترل که با برنامه Defender ارتباط برقرار می‌کنند، با نمونه های Monokle نیز ارتباط برقرار می‌کنند. مجوزهای امضاشده که برای امضای بسته های نرم افزاری اندروید به کار می‌روند،  بین Defender و Monokle به خوبی هم‌پوشانی می‌شوند. .Lookout تعدادی از نام توسعه دهندگان مرتبط با Monokle مرتبط با STC  را کشف کرده است. ”

تلفن های همراه به بخشی از زندگی روزمره تبدیل شده اند و عملکرد آنها همچنان به سرعت در حال رشد است. اطلاعات خصوصی و شخصی ما که در دستگاه های تلفن همراه و فضای ابر ذخیره می‌شوند، اکنون آسیب پذیر تر از تهدیدات امنیتی سایبری هستند.