پژوهشگران امنیتی میگویند بدافزار قدرتمند جدیدی که خود را بهعنوان بهروزرسانی حیاتی سیستم جلوه میدهد، اخیرا در دستگاههای اندرویدی رؤیت شده است و میتواند کنترل کامل دستگاه قربانی را در اختیار بگیرد. آنطور که تککرانچ مینویسد، این بدافزار حتی توانایی سرقت اطلاعات کاربر را هم دارد.
ظاهرا این بدافزار اندروید در اپلیکیشنی با نام System Update که در خارج از گوگل پلی استور قرار دارد، پیدا شده است. System Update پس از نصب شدن توسط کاربر، دادههای دستگاه قربانی را مخفیانه به سروری ویژه منتقل میکند. پژوهشگران شرکت Zimperium که در حوزهی امنیت موبایل فعالیت میکند، نخستین بار موفق به کشف اپلیکیشن مخرب System Update شدند. این پژوهشگران میگویند وقتی قربانی اپلیکیشن را نصب کرد، بدافزار با سرور Firebase هکر ارتباط برقرار میکند و به واسطهی همین سرور، هکر توانایی کنترل دستگاه را از راه دور پیدا میکند.
بدافزار میتواند پیغامها، فهرست مخاطبان، اطلاعات دستگاه، بوکمارکها و تاریخچهی مرورگر را به سرقت ببرد و تماسها و صدای محیط را از طریق میکروفون ضبط کند. این بدافزار حتی توانایی عکس گرفتن از طریق دوربین گوشی دارد، مکان کاربر را پایش میکند، به دنبال اسناد میگردد و دادههای کپیشده در کلیپبورد دستگاه را به سرقت میبرد.
بدافزار System Update در پسزمینه کار میکند و از چشم کاربر پنهان میماند. این بدافزار در اقدامی برای جلوگیری از شناسایی شدن، تامبنیل را به جای تصاویر اصلی در سرورهای هکر آپلود میکند تا مصرف اینترنت خود را کاهش دهد. بدافزار همچنین میتواند بهروزترین دادهها نظیر مکان و تصاویر را در سرور مقصد ثبت کند.
شریدهار میتال، مدیرعامل مؤسسهی Zimperium، میگوید این بدافزار احتمالا بخشی از حملهای هدفمند است. میتال میگوید: «این بدافزار پیچیدهترین موردی است که تاکنون دیدهایم. به نظر من زمان و تلاش زیادی صرف توسعهی این اپلیکیشن شده است. اعتقاد داریم که اپلیکیشنهای دیگری مثل System Update در کمین کاربران هستند و ما تمام تلاش خود را میکنیم تا آنها را در سریعترین زمان ممکن شناسایی کنیم.»
گول زدن افراد برای نصب کردن بدافزار روشی ساده اما مؤثر برای نفوذ به دستگاه قربانیان است. دقیقا به همین دلیل است که دستگاههای اندرویدی به کاربر هشدار میدهند اپلیکیشنهایی که در خارج از پلی استور هستند نصب نکند. اکثر دستگاههای قدیمی توانایی اجرای جدیدترین نسخه از اپلیکیشنها را ندارند و کاربران را مجبور به استفاده از نسخههای قدیمی میکنند که در فروشگاههای متفرقه در دسترس هستند.
میتال تأیید کرد بدافزار System Update هرگز وارد پلی استور نشده است. تککرانچ با گوگل ارتباط برقرار کرد تا بفهمد این شرکت چه اقداماتی برای جلوگیری از ورود بدافزار یادشده به پلی استور اتخاذ کرده است؛ اما هیچ پاسخی دریافت نکرد. پیشتر برخی بدافزارها موفق شده بودند از فیلترهای گوگل عبور کنند.
این نوع بدافزارها معمولا بهصورت گسترده وارد دستگاههای مشتریان میشوند و فرم و نام متنوعی دارند؛ اما در اکثر مواقع کار مشابهی انجام میدهند. در روزهای آغازین اینترنت، تروجانهای دسترسی از راه دور (RAT) به جاسوسان امکان میدادند که از طریق وبکم دستگاهها از قربانیان جاسوسی کنند.
امروزه اپلیکیشنهای نظارت روی کودک در اغلب مواقع برای جاسوسی از همسر استفاده میشوند و اصطلاحا به آنها استاکرور (Stalkerware) اسپَوسور (Spouseware) گفته میشود. سال گذشتهی میلادی شاهد انتشار گزارشی با محوریت استاکرور KidsGuard بودیم که خود را بهعنوان اپلیکیشن نظارت کودکان جا زده بود و از تکنیک «بهروزرسانی سیستم» برای رسیدن به دستگاه قربانیان استفاده میکرد.
پژوهشگران هنوز نمیدانند بدافزار System Update توسط چه فردی ساخته شده است و چه گروهی را هدف قرار میدهد.