انتشار شده در تاریخ 1403/03/27 - 10:09

حمله جاسوس افزار آرید اسپای به مصر و فلسطین

محققان چندین کمپین جاسوسی را کشف کرده‌اند که برخی از آنها همچنان در جریان بوده و کاربران اندروید را در مصر و فلسطین با نرم‌افزارهای جاسوسی هدف قرار می‌دهند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این بدافزار که آرید اسپای (AridSpy) نام دارد، از طریق وب‌سایت‌های اختصاصی که جعل برنامه‌های پیام‌رسان مختلف هستند، از جمله نورتیر چت (NortirChat)، لاپیزا چت (LapizaChat)، ربلی چت (ReblyChat)، یک برنامه فرصت شغلی و یک برنامه ثبت فعالیتهای مدنی فلسطینی توزیع می‌شود.

بر اساس تحقیقات جدید شرکت امنیت سایبری ایست (ESET)، این جاسوس افزار احتمالاً توسط یک گروه جاسوسی سایبری مربوط به حماس به نام آرید وایپر (Arid Viper)، که با نام فالکونهای صحرا (Desert Falcons) نیز شناخته می شود، اداره می شود.

این گروه بیش از یک دهه است که فعال بوده و قبلا کشورهای خاورمیانه را هدف قرار می داده است.

در گزارشی در روز پنجشنبه، محققان پنج کمپین آرید وایپر را شناسایی کردند که کاربران اندروید را هدف قرار می‌داد و سه مورد از آنها هنوز فعال هستند.

هکرها بدافزار را از طریق وب‌سایت‌های اختصاصی تحویل می‌دهند و قربانیان را فریب داده تا یک برنامه اندرویدی آلوده به آرید اسپای را دانلود و نصب کنند.

این برنامه های مخرب هرگز از طریق گوگل پلی ارائه نشده اند و از سایت های شخص ثالث دانلود می شوند.

به گفته محققان، برای نصب آنها، قربانیان بالقوه باید گزینه غیر پیش فرض اندروید را فعال کنند که به آنها اجازه می دهد برنامه ها را از منابع ناشناخته دانلود و نصب کنند.

آرید اسپای در سال 2021 کشف شد و قبلا برای هدف قرار دادن کاربران عربی حاضر در جام جهانی فوتبال در قطر استفاده می شد.

در آن زمان، محققان بیش از هزار دستگاه آلوده، عمدتاً در سرزمین اشغالی و فلسطین را کشف کردند.

در کمپین‌های جدیدی که توسط ایست توضیح داده شد، آرید اسپای به یک تروجان چند مرحله‌ای تبدیل شده که می‌تواند داده های اضافی را از سرور هکرها بر روی دستگاه‌های قربانیان دانلود کند.

برای دستیابی به دسترسی اولیه، هکرها قربانیان را متقاعد کردند که یک برنامه جعلی اما کاربردی را از وب سایت مخرب نصب کنند.

همه برنامه‌های اندرویدی تحلیل‌شده از این کمپین‌ها حاوی کدهای مخرب مشابهی هستند و داده های بدافزاری مرحله اول و دوم را دانلود می‌کنند.

هنگامی که داده ها بارگیری و اجرا می شوند، آرید اسپای وضعیت صفحه نمایش دستگاه را کنترل می کند.

اگر قربانی صفحه گوشی را قفل یا باز کند، با استفاده از دوربین جلو عکس می گیرد و به سرور هکرها می فرستد، مشروط بر اینکه آخرین عکس بیش از 40 دقیقه پیش گرفته شده باشد و سطح باتری بالای 15 درصد باشد.

این نرم‌افزار جاسوسی همچنین می‌تواند انواع مختلفی از داده‌های قربانیان را جمع‌آوری کند، از جمله مکان دستگاه، لیست مخاطبین، گزارش تماس‌ها، پیام‌های متنی، پایگاه‌های داده واتساپ حاوی پیام‌های رد و بدل شده و مخاطبین کاربر، تاریخچه جستجوی مرورگر، و همه اعلان‌های دریافتی، از جمله از مسنجر فیس‌بوک.

مشخص نیست که چه تعداد کاربر توسط آرید اسپای در آخرین کمپین مورد هدف قرار گرفته اند و چگونه هکرها از داده هایی که به دست آورده اند، سواستفاده کرده اند.