بدافزار WolfRAT واتساپ و فیسبوک مسنجر را مورد هدف قرار میدهد
بدافزار اندرویدی جدیدی کشف شده است که تنها اپهای پیامرسانی محبوب همچون واتساپ و فیسبوک مسنجر را مورد هدف قرار میدهد تا بدینترتیب اطلاعات قربانیان اندرویدی را جمعآوری کند.
نام این بدافزار WolfRAT بوده و تحت توسعه است. این بدافزار اخیراً در کمپینهایی که هدفشان کاربران تایلندی بوده مورد شناسایی قرار گرفته است. محققین با اعتماد بالا چنین ارزیابی میکنند که این بدافزار توسط Wolf Research–سازمان فعال در حوزه جاسوسافزار واقع در آلمان که کارش توسعه و فروش بدافزارهای مبتنی بر جاسوسی به دولتهاست- اداره میشود. در ادامه با ما همراه شوید تا مبسوط به ساز و کار این بدافزار بپردازیم.
وارن مرسر، پاول راسکاگنرس و ویتور ونتورا محققین تیم Cisco Talos در تحلیل روز سهشنبه اینطور توضیح دادند: «جزئیات چت، سوابق واتساپ، مسنجرها و اساماسهای جهان حاوی اطلاعات مهم و حساسند و افراد اغلب این نکته را حین تعاملات خود با گوشیشان پشت گوش میاندازند. ما شاهدیم که WolfRAT به طور خاص دارد اپ پیامرسان بسیار محبوب و رمزگذاریشده در آسیا یعنی لاین را مورد هدف قرار میدهد؛ چیزی که نشان میدهد حتی کاربر حواسجمع هنوز میتواند قربانی WolfRAT باشد».
وارن مرسر، مدیر بخش فنی Cisco Talos معنقد است بردار آلودگی از طریق لینکهای فیشینگ/اسمیشینگ ارسالشده به دستگاه کاربران بوده است. محققین پی بردند که دامنه سرور فرمان و کنترل (C2) واقع در تایلند بوده و حاوی ارجاعاتی به غذای تایلندی میباشد (سر نخهایی در مورد این تلهی احتمالی میدهد).
کمپین
WolfRAT وقتی دانلود شد با استفاده از آیکونها و نامهای پک به خود ظاهر یک سرویس قانونی را مانند گوگلپلی یا آپدیتهای فلش میدهد. مرسر میگوید اینها بستههای کاربردی و معمول هستند که هیچ تعامل کاربری برایشان لازم نیست. بعنوان مثال، این بدافزار از نام بسته (com.google.services) برای اینکه وانمود کند اپ گوگلپلی است استفاده میکند. مرسر در ادامه چنین میگوید: «این نام آنقدری آشنا هست که یک کاربر معمولی فکر بکند مربوط به گوگل است و حتماً بخش لازمی برای سیستم عامل اندروید به حساب میآید. اگر کاربر روی آیکون اپ فشار دهد فقط اطلاعات کلی اپ گوگل را که توسط نویسندگان این بدافزار تزریق شده است مشاهده خواهند کرد. این کار برای این است که مطمئن شوند اپ توسط قربانی uninstall نشده است».
محققین با تحقیق بیشتر روی خود WolfRAT متوجه شدند که RAT مبتنی بر بدافزاری موسوم به DenDroid است که پیشتر نشت داده شده بود. DenDroid در سال 2014 کشف شد و در حقیقت یک بدافزار اندرویدی ساده حاوی فرمانهای جاسوسمحور برای گرفتن عکس و ویدیو، ضبط صدا و آپلود عکس است. محققین دستکم چهار عرضهی بزرگ از WolfRAT را شناسایی کردند و میگویند این بدافزار شدیداً تحت توسعه میباشد. به لحاظ تایملاین هم محققین نمونههایی را مشاهده کردهاند که نشاندهندهی فعالیت از ژانویه 2019 هستند؛ با این حال به نقل از مرسر یکی از دامنههای C2 در سال 2017 رجیستر شده بود. این نسخهها از خود قابلیتهای مختلفی نشان دادند؛ از جمله قابلیت ثبت نمایشگر. محققین در طول تحلیلشان روی نمونههای اولیه متوجه شدند این قابلیت هرگز توسط این بدافزار استفاده نشده است؛ با این حال در نمونههای بعدی ثبت نمایشگر وقتی RAT تعیین کرد واتساپ در حال اجراست شروع به کار نمود.
نسخههای بعدی این بدافزار همچنین مجوزهای مختلفی هم داشتند که ACCESS_SUPERUSER و DEVICE_ADMIN درخواست میدادند؛ هر دو این مجوزها از نمونه روشهای رسیدن به به حقوق ممتاز دسترسی روی دستگاه قربانی هستند. مرسر افزود، مجوز دیگری که افزوده شد READ_FRAME_BUFFER است؛ مهمترین API استفادهشده در این بخش. زیرا این مجوز میتواند توسط یک اپ برای دسترسی به اسکرینشاتهای نمایشگر دستگاه فعلی مورد استفاده قرار گیرد (یعنی واتساپ). مضاف بر این قابلیت، نسخههای بعدی این بدافزار فعالیتهای فیسبوک مسنجر، واتساپ و لاین را زیر نظر گرفتند. وقتی این اپها باز میشوند، بدافزار مذکور اسکرینشاتهایی گرفته و آنها را در C2 آپلود میکند. محققین به این موضوع اشاره کردند که حذف و اضافه کردن پیوستهی بستهها به همراه مقادیر زیادی کد استفادهنشده و به کار بردن تکنیکهای قدیمی قبیح نشاندهندهی متودولوژی ناشیگرانهی توسعه است. محققن میگویند: «این عامل به شدت ناشیگرانه عمل کرده است: همپوشانیهایی با کد، کپی/پیستهای منبعباز، بستههای ناپایدار و پنلهایی که آزادانه باز هستند».
لینکهای Wolf Research
محققین بعد از شناسایی همپوشانی زیرساخت و ارجاعات رشته (از پیش استفادهشده توسط این گروه) این کمپین را به Wolf Research منتسب کردند. این سازمان ظاهراً بسته شده اما عوامل تهدید هنوز فعالند. محققین بر این باورند که مدیران این بدافزار دارند با پوشش سازمانی جدید به نام LokD همچنان به فعالیت خود ادامه میدهند. در وبسایت این سازمان، مدیران برای تست محصولات خود آسیبپذیریهای روز صفر توسعه میدهند.
به نقل از محققین: «با این حال، به لطف زیرساخت مشترک و نامهای فراموششدهی پنل ما میتوانیم تضمین دهیم این عامل هنوز در حال فعالیت است و هنوز هم دارد این بدافزار را توسعه میدهد. در واقع از این بدافزار از اوسال ماه ژوئن تا به امروز دارد استفاده میشود. روی پنل C2 ما متوجه ارتباطی احتمالی بین Wolf Research و سازمان دیگری تحت عنوان Coralco Tech شدهایم. این سازمان نیز فعالیتش فناوری رهگیری است».