این گروه که به خاطر فعالیتهای خود در آسیای میانی شناخته شده است، اینبار با دستکاری یک بدافزار اندرویدی قابلیتهای آن را ارتقا دادند تا بتواند مدت زمان بیشتری روی دستگاه قربانی باقی بماند.
به گفته محققان، این نسخه در برابر حذف دستی از سوی کاربر و همچنین اقداماتی که شرکتهای امنیتی و هاستینگ برای جلوگیری از سرور کنترل و فرماندهی آن صورت میدهند، مقاومت بیشتری نشان میدهد.
این بدافزار که با نامهای VAMP، FrozenCell، Gnatspy و Desert scorption شناخته میشود، نوعی جاسوسافزار موبایلی است که از سال ۲۰۱۷ توسط گروه APT C-23 مورد استفاده قرار میگیرد. نسخههای موفق این بدافزار دارای قابلیتهای جاسوسی و نظارتی هستند که امکان جمعآوری فایلها، عکسها، لیست مخاطبین، تاریخچه تماسها، خواندن اعلانها از طریق اپلیکیشنهای پیامرسان، ضبط همه تماسها از جمله واتساپ و همچنین رد اعلانهای هشدار از سوی اپلیکیشنهای امنیتی داخلی اندروید را داراست.
در پویشهای قبلی این بدافزار، انتشار از طریق فروشگاههای نرمافزاری سوم شخص یا جعلی صورت میگرفته و اغلب با عنوان جعلی برنامه بروزرسان اندروید، Threema و تلگرام خودش را معرفی میکرد. در پویش اخیر نیز همین روند در دستور کار هکرها قرار داشته و بدافزار با نامها app updates ، system updatesو android update intelligence منتشر شده است. به عقیده محققان لینک انتشار این بدافزار از طریق پیامهای فیشینگ منتشر گردیده است.
پس از نصب، درخواست مجوزهای بسیار خطرناک و تهاجمی از سوی بدافزار آغاز میگردد که در صورت قبول آنها از سوی کاربر، یک سری فعالیتهای مخرب انجام گرفته و در نهایت امکان حذف دستی آن برای کاربر غیر ممکن خواهد شد. بدافزار فوق نه تنها آیکون خود را به شکل یکی از اپیکیشنهای محبوب (از جمله گوگل کروم، یوتیوب یا فروشگاه گوگل پلی) تغییر میدهد، حتی اگر کاربر بتواند آیکون جعلی را شناسایی کرده و آن را باز کند، اپلیکیشن اصلی اجرا میگردد و بدافزار همچنان به انجام فعالیتهای جاسوسی خود در پشت زمینه ادامه میدهد.
بدافزارهای تهدیدات خطرناکی هستند که روز به روز نیز در حال پیشرفت و افزایشند. به گفته محققان بدافزار استفاده شده توسط گروه APT C-23 نزدیک به یک سال است که در حال فعالیت بوده و همچنان اپراتورهای آن در حال توسعه و ارتقای قابلیتهای آن هستند.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.