استفاده روسیه از جاسوس‌افزار علیه یک برنامه‌نویس روسی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، تحقیقات مشترک توسط دپارتمان فرست (First Department) و آزمایشگاه سیتیزن (Citizen Lab) نشان داد که این آژانس اطلاعاتی روسیه پس از بازداشت ۱۵ روزه پاروبتس، بدافزاری را بر روی دستگاه اندرویدی او نصب کرده است.

در طول بازداشت، مقامات گوشی موبایل Oukitel WP7 با سیستم‌عامل اندروید ۱۰ که متعلق به او بود را ضبط کرده و جاسوس‌افزار روی آن نصب کردند.

در گزارش آزمایشگاه سیتیزن این چنین آمده است:

این جاسوس‌افزار شباهت‌های بسیاری به خانواده مونوکل (Monokle) دارد، که پیش‌تر توسط شرکت امنیت موبایل لوک اوت (Lookout Mobile Security) گزارش شده بود و به مرکز فناوری ویژه، یکی از پیمانکاران دولت روسیه، نسبت داده شده است.

در ژوئن ۲۰۲۴، پاروبتس به دپارتمان فرست گزارش داد که در طول بازداشت، مقامات دستگاه او را توقیف کردند.

او همچنین فاش کرد که آپارتمانش مورد تفتیش قرار گرفته و او را تحت فشار و ضرب و شتم وادار کردند رمز عبور دستگاه خود را فاش کند.

این جاسوس‌افزار قابلیت‌های مختلفی از جمله ردیابی مکان، ضبط تماس‌ها، ثبت کلیدهای فشرده‌شده و خواندن پیام‌های برنامه‌های پیام‌رسان رمزگذاری‌شده را در اختیار مقامات روسی قرار می‌دهد.

پاروبتس و همسرش بازداشت شدند و سرویس امنیت فدرال روسیه (FSB) او را به جرم همکاری به‌عنوان خبرچین تحت فشار قرار داد و با تهدید به حبس ابد مواجه کرد.

سرویس امنیت فدرال روسیه به روابط او، از جمله ارتباطاتش با اوکراین، علاقه ویژه‌ای نشان داد.

پس از آزادی پاروبتس، گوشی او در دفتر مرکزی سرویس امنیت فدرال روسیه در لوبیانکا به او بازگردانده شد.

او متوجه رفتارهای مشکوک، از جمله یک اعلان غیرعادی به نام "Arm cortex vx3 synchronization" شد.

تحقیقات دپارتمان فرست نشان داد که یک برنامه مخرب در طول بازداشت روی دستگاه او نصب شده است.

این گروه سپس برای تحلیل دقیق‌تر، از آزمایشگاه سیتیزن کمک خواست.

تحلیل‌ها نشان داد که دستگاه آلوده به نسخه‌ای تغییر یافته از برنامه معتبر ضبط تماس کیوب ( Cube Call Recorder) بوده است.

نسخه اصلی این برنامه با نام بسته "com.catalinagroup.callrecorder" شناخته می‌شود، اما نسخه مخرب نام بسته‌ای با عنوان "com.cortex.arm.vx3" دارد.

این جاسوس‌افزار عملکردهای گسترده‌ای دارد، از جمله: دسترسی به داده‌های مکان حتی زمانی که برنامه در حال استفاده نیست، خواندن و ارسال پیامک، نصب برنامه‌های اضافی، ثبت صفحه‌نمایش، دسترسی به اطلاعات تقویم، فهرست برنامه‌های نصب‌شده، ضبط ویدئو از دوربین دستگاه و بازیابی جزئیات حساب کاربری.

بخش زیادی از عملکرد مخرب این برنامه در مرحله دوم رمزگذاری شده آن نهفته است.

پس از نصب و اجرا، این مرحله رمزگشایی شده و در حافظه بارگذاری می‌شود.

این نوع رمزگذاری کمک می‌کند فعالیت‌های مخرب از دید برخی نرم‌افزارهای آنتی‌ویروس پنهان بماند.

جاسوس‌افزار قابلیت‌هایی مانند ردیابی دقیق مکان، ضبط تماس‌ها، استخراج فایل‌ها، خواندن پیام‌ها از دیگر برنامه‌ها، ثبت کلیدهای فشرده‌شده و حتی اضافه کردن مدیر دستگاه جدید را نیز دارد.

همچنین شواهدی مبنی بر ارجاعات کد مخرب به سیستم عامل آی او اس (iOS) یافت شده است، که احتمالاً نشان‌دهنده نسخه‌ای از این جاسوس‌افزار برای آیفون است.

گزارش به این نتیجه می‌رسد که دادن کنترل فیزیکی دستگاه به یک سرویس امنیتی مانند سرویس امنیت فدرال روسیه می‌تواند تهدیدی جدی برای امنیت دستگاه باشد که حتی پس از بازگشت آن نیز ادامه خواهد داشت.

در این مورد، هدف با مشاهده رفتارهای غیرعادی دستگاه، به وجود جاسوس‌افزار پی برد، اما این اتفاق همیشه با چنین نشانه‌های قابل‌مشاهده‌ای همراه نیست.