جاسوس اسراییلی کریسائور
به گزارش واحد متخصصین سایبربان، بدافزار کریسائور، حدود سه سال است که در حال فعالیت بوده است. هدف این بدافزار، کاربران خاص اندرویدی هستند.
کریسائور (Chrysaor) یکی دیگر از بدافزارهای تازه شناساییشده تلفن همراه است که تاکنون توسعه یافته است؛ بهطوریکه توانسته حداقل به مدت سه سال بهصورت عمومی شناسایی نشود. دلیل این عدم شناسایی، دارا بودن قابلیتی به نام خود تخریبی در بدافزار است که پس از آلوده سازی و رسیدن به هدف، فعال میشود.
قابلیت خود تخریبی کریسائور باعث میشود تا برای بررسی توسط محققان امنیتی نیز کار دشوار باشد. همچنین عامل اصلی دیگری نیز در عدم شناسایی عمومی این بدافزار نقش دارد که میتوان به تعداد محدود قربانی اشاره کرد. تعداد قربانیهای این بدافزار کمتر از سه هزار تجهیز است. هنگامیکه تعداد قربانیهای یک بدافزار کم باشد، بدافزار میتواند مدت زمان بیشتری مخفی بماند. معمولاً اینگونه بدافزارها بهمنظور دستیابی به افراد خاص، توسعه مییابند. این بدافزار بهمنظور روت کردن اندروید از آسیبپذیری معروف Framaroot استفاده میکند تا به سامانه قربانی بهصورت کامل دسترسی داشته باشد.
قربانیهای بدافزار کریسائور بهصورت خاص انتخابشده و عمدتاً شامل خبرنگاران و نویسندگان میشود. افراد قربانی در کشورهای اسرائیل، گرجستان، ترکیه، مکزیک و امارات متحده عربی هدف حمله این بدافزار قرارگرفتهاند. بر اساس گزارش محققان امنیتی این بدافزار توسط اسراییل بهمنظور جاسوسی توسعه یافته است.
کریسائور پس از آلوده سازی سامانه قربانی اقدامات زیر را انجام میدهد:
- جمعآوری اطلاعات نرمافزارهای محبوب تلفن همراه مانند جی میل، واتساپ، اسکایپ، فیسبوک، توییتر، وایبر و کاکائو
- کنترل از راه دور سامانه قربانی با استفاده از دستورهای مبتنی پیامک
- ضبط ویدئو و صدا
- گرفتن تصویر از صفحه تلفن همراه
- ثبت تمامی ورودیهای صفحهکلید تلفن همراه
- غیرفعال سازی سامانه بهروزرسانی سیستمعامل
- جاسوسی از مرورگر قربانی
شرایط خود تخریبی بدافزار در حالتهای زیر اتفاق میافتد:
- اگر SIM MCC ID معتبر نباشد
- اگر فایل antidote در سامانه وجود داشته باشد
- اگر بدافزار نتواند به مدت حداکثر 60 روز با سرور خود ارتباط برقرار کند
- اگر بدافزار از سوی سرور خود دستور تخریب دریافت کند
