به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، شرکت امنیت سایبری ایست (ESET) روز پنجشنبه اعلام کرد کارشناسانش دو کمپین جاسوسافزاری اندرویدی را شناسایی کردهاند که «ProSpy» و «ToSpy» نامگذاری شدهاند.
این بدافزارها خود را بهعنوان اپلیکیشنهای Signal و ToTok معرفی میکنند؛ ToTok یک برنامه رایگان پیامرسانی و تماس است که در امارات راهاندازی شد.
این جاسوسافزارها از طریق وبسایتها و فروشگاههای اپلیکیشن جعلی نصب میشوند و امکان سرقت فایلهای حساس، مخاطبین، نسخههای پشتیبان گفتگوها و رسانهها را فراهم میکنند.
همچنین برای واقعی جلوه دادن خود، نسخه اصلی این اپلیکیشنها را مجدداً بارگذاری میکنند.
ایست در یک پست وبلاگی اعلام کرد:
شناسایی این بدافزارها در امارات و استفاده از فیشینگ و فروشگاههای جعلی اپلیکیشن برای انجام حملات نشان میدهد که این عملیاتها «با تمرکز منطقهای و مکانیزمهای تحویل راهبردی» انجام میشوند. بهمحض نصب، هر دو نوع جاسوسافزار بهصورت پایدار در دستگاه باقی میمانند.
سرورهای فرماندهی و کنترل شناساییشده توسط محققان نشان میدهد که کمپین ToSpy همچنان فعال است.
به گفته لوکاش شتِفانکو، پژوهشگر ایست، اپلیکیشنهای آلوده به جاسوسافزار تنها میتوانند بهصورت دستی از طریق وبسایتهای شخص ثالث نصب شوند.
یکی از وبسایتهایی که بدافزار ToSpy را توزیع میکرد، خود را بهعنوان فروشگاه سامسونگ گلکسی (Samsung Galaxy) معرفی کرده بود.
ایست در ماه ژوئن بدافزار ToSpy را شناسایی کرد و معتقد است که قدمت آن به سال ۲۰۲۲ بازمیگردد.
پژوهشگران چهار «وبسایت توزیع فریبنده» یافتند که خود را بهعنوان این اپلیکیشن جا زده بودند.
کمپین ProSpy نیز در ماه ژوئن توسط پژوهشگران شناسایی شد و بر این باورند که از سال ۲۰۲۴ آغاز شده است.
به گفته ایست، وبسایتهای جعلی توزیعکننده ProSpy از بستههای مخرب اندرویدی (APK) استفاده میکنند که خود را بهعنوان «بهروزرسانی و بهبود» معرفی میکنند.
