بد افزار جاسوسی از شهروندان ایرانی چگونه توسعه یافته است؟

تیمی از محققان امنیت سایبری از جنبه‌های پنهان بدافزاری رونمایی کردند که به تازگی توسط شرکت تحریم شده «رایانش هوشمند رانا» (رانا) توسعه یافته‌اند تا توسط گوشی‌های «اندروید» از شهروندان ایرانی جاسوسی کنند.

هفدهم سپتامبر ۲۰۲۰ میلادی، شرکت رایانش هوشمند رانا و ۴۵ تن از کارکنان، مدیران و برنامه‌نویسان آن به صورت رسمی به لیست تحریم‌های ایالات متحده اضافه شدند. وزارت خزانه‌داری امریکا در بیانیه رسمی خود، وزارت اطلاعات جمهوری اسلامی را متهم کرد که در پوشش این شرکت، اقدام به استخدام افراد متخصص، تحصیل‌کرده و استعداد‌های سایبری کرده است تا از شهروندان ایرانی، مخالفان حکومت در داخل و خارج از کشور، روزنامه‌نگاران، کارمندان سابق دولتی، محیط‌‌بانان، پناهندگان، دانشجویان، اعضای هیات‌علمی، کارمندان سازمان‌های غیردولتی بین‌المللی و غیره جاسوسی کند و آن‌ها را تحت فشار و سرکوب قرار ‌دهد.

شرکت رانا هم‌چنین متهم شده که با پشتیبانی از گروه هکری موسوم به «تهدید پیشرفته مستمر ۳۹» (APT39) جرایم سایبری متعددی را در نقاط مختلف دنیا سازمان‌دهی کرده و خسارت‌های مادی و معنوی فراوانی را به افراد، شرکت‌ها و سازمان‌های خصوصی و دولتی وارد کرده است.

هم‌زمان با قرارگرفتن نام رانا در لیست تحریم‌ها، پلیس فدرال امریکا (اف‌بی‌آی) نیز گزارشی را در خصوص فعالیت‌های مجرمانه این شرکت پوششی منتشر کرده و مشخصات هشت بدافزاری که شرکت رانا از آن‌ها برای هک و نفوذ بهره می‌برده را در اختیار عموم قرار داده است؛ از جمله، بدافزار «اسکریپت‌های مخرب» (Visual Basic Script) (VBS) که از طریق مخفی شدن در محصولات مایکروسافت و با مهندسی اجتماعی برای هدف ارسال می‌شد، بدافزار «AutoIt Malware» با عملکردی مشابه اسکریپت‌های مخرب و قابل اجرا با یک لینک آلوده، بدافزارهای «BITS 1.0» و «BITS 2.0» که تکمیل کننده دو مورد بالا هستند، بدافزار «Python-Based» مجری اسکریپت‌های مخرب «پایتون» با استفاده از یک فایل فشرده «RAR» و بدافزار ویژه مرورگر «Firefox».

در بخشی از گزارش اف‌بی‌آی، به بدافزاری ویژه هک سیستم‌ اندروید به نام «Optimizer.apk» و قانون اجرایی آن موسوم به «یارا» (YARA) اشاره شد که قادر بود ضمن بازیابی درخواست‌های «HTTP GET» از سرور «C2» و به دست آوردن داده‌های دستگاه و فشرده‌سازی آن‌ها با روش «AES»، درخواست‌های مخرب را هم با استفاده از  «HTTP POST» به سرور C2 ارسال کند. این به زبان ساده، یعنی کاشت «APK» دارای قابلیت سرقت اطلاعات و دسترسی از راه دور بدون اطلاع کاربر و گرفتن دسترسی ریشه‌ای از دستگاه اندروید قربانی.

 

اما به تازگی «کارلو زانکی» از شرکت امنیتی «ریورسینگ لبز» (ReversingLabs) در مقاله‌ای نتیجه تحقیقات این شرکت را از تحلیل عمیق نسخه‌های قدیمی و نسخه توسعه‌یافته بدافزار Optimizer.apk منتشر کرده و جنبه‌های پنهان دیگری از عملکرد این بدافزار جاسوسی را در اختیار عموم قرار داده است؛ از آن جمله می‌توان به امکان گرفتن مجوز ضبط صدا و عکس، امکان افزودن نقطه دسترسی وای‌فای (Wi-Fi) سفارشی بدون اطلاع قربانی و هم‌چنین امکان دسترسی به تمام محتوای نرم‌افزارهای پیام‌رسانِ واتس‌اپ)، اینستاگرام، تلگرام، وایبر و حتی اسکایپ اشاره کرد.

 

در این مقاله آمده بررسی‌های عمیقی که با استفاده از «پلتفرم تیتانیوم» (Platform Titanium) انجام شده، نشان‌گر آن است که توسعه‌دهندگان این بدافزار حتی تلاش نکرده‌اند گواهی‌نامه‌ «APK Android» را که ساخته‌اند، دست‌کم قانونی به نظر برسد.

 

کارشناسان شرکت ریورسینگ لبز سه نمونه از این بدافزار را با نام مشترک «com.android.providers.optimizer» مورد بررسی قرار داده‌اند.  تاریخ اعتبار گواهی‌نامه‌ و امضای باینری‌های APK این سه نسخه، حکایت از دست کم سه نوبت بازنویسی و توسعه این بدافزار دارند که اولین آن ابتدای سال ۲۰۱۶، دو نوبت در میانه سال ۲۰۱۶ و یک نوبت در انتهای سال ۲۰۱۸ انجام شده است.

مقایسه نسخه‌های قدیمی‌تر با نسخه توسعه یافته این بدافزار نشان می‌دهد که نسخه‌های قدیمی برای عملکرد صحیح به مجموعه‌ای مجوزها از سیستم اندروید قربانی نیاز داشت. اما در نسخه توسعه‌ یافته، علاوه بر حل این مشکلات، بخش‌های تازه‌ای، ازجمله منبع «tmp.tmp» و فایل «libOptimizer.so» به این بدافزار افزوده شده‌اند که از آن‌ها برای تولید کلید AES استفاده می‌شود.

 

برای بررسی شیوه رمزنگاری و مبهم‌سازی این بدافزار، کد بایتی «Dalvik» داخل فایل «classes.dex» با استفاده از ابزار متن باز «dex2jar» به یک فایل «جار» (jar) و سپس به «جاوا» تبدیل شد. خروجی غیرکمپایل شده این فرایند حدود ۲۰۰ کلاس و تقریبا ۶۰۰ روش با نام‌های مبهم را نشان می‌داد که به ترتیب به نام‌های (a, b, c ...) دسته بندی شده بود.
کمپایل کردن برنامه‌ای است که سطح برنامه مبدا را به زبان مقصد تبدیل می‌کند.  

کارشناسان شرکت ریورسینگ لبز گفته‌اند در بین دستورهای این بدافزار، چند دستور وجود دارد که فرضیه خلق این بدافزار را برای اهداف دولتی، از جمله جاسوسی از شهروندان تقویت می‌کند. امکان عکاسی بدون اجازه قربانی و ضبط صدا با امکان تنظیمات مختلف و هم‌چنین امکان فعال شدن دستگاه در زمانی خاص، حتی اگر صاحب دستگاه آن را خاموش کرده باشد، ازجمله این دستورها است

علاوه براین‌، دستورهای غیرمعمول دیگری وجود دارد که عموما در بدافزارهای اندروید به چشم نمی‌خورند؛ مانند امکان خلق یک نقطه دسترسی وای‌فای و مجبور کردن دستگاه به اتصال به آن.

به اعتقاد این کارشناسان، این ویژگی احتمالا برای جلوگیری از شناسایی تصادفی، به دلیل استفاده غیرمعمول از ترافیک دستگاه اندرویدی استفاده می‌شود. البته این مودم دوم، توانایی پاسخ‌گویی به شماره تلفن‌های خاص و حتی جاسوسی صوتی از صاحب دستگاه را نیز دارد.

علاوه براین، بدافزار Optimizer.apk امکان دریافت دستورات تازه را از طریق پیامک نیز دارا است. بدافزار از طریق رصد هدر فرمان پیامک‌ها، دستورالعمل ارسالی از سوی گردانندگان بدافزار را تشخیص می‌دهد و دریافت می‌کند و آن را بر روی دستگاه قربانی اجرا می‌کند. این فرمان‌ها به صورت پیش‌فرض، روی «opt -cmd» تنظیم می‌شوند اما امکان تغییر تنظیمات با مقادیر دیگر نیز وجود دارد.

یکی از امکانات تازه در نسخه ویرایش شده این بدافزار، امکان جاسوسی از برنامه‌های پیام‌رسان نصب شده روی دستگاه اندرویدی است که به احتمال فراوان، برای جاسوسی از شهروندان ایرانی مورد استفاده قرار می‌گیرد. این جاسوسی از طریق نرم‌افزارهای پیام‌رسان کنترل شده انجام می‌شود؛ بسته‌هایی مانند «org.ir.talaeii» که در ایران با عناوینی هم‌چون «تلگرام غیررسمی توسعه‌یافته در ایران»، «تلگرام طلایی» و یا «تلگرام پیشرفته» تبلیغ می‌شوند. لیست زیر، انواع تقلبی دیگری از نرم‌افزارهای پیام‌رسان معتبر است که از آن برای جاسوسی از شهروندان ایرانی استفاده می‌شود.

هرنسخه از این بدافزارها دارای فهرستی از دامنه‌های اینترنتی هستند که از آن‌ها برای کنترل و فرمان استفاده می‌شود. بررسی تاریخ ثبت و گواهی‌نامه‌های این دامنه‌ها نشان‌گر آن است که بدافزار Optimizer.apk از اواخر سال ۲۰۱۴ فعال بوده است و اگر نسخه‌های قدیمی‌تری از این بدافزار وجود داشته باشد، به این معنا است که تاریخ ساخت آن حتی به پیش از سال ۲۰۱۴ باز می‌گردد.

بررسی تاریخچه دامنه‌ها نشان می‌دهد که شخص ثبت کننده دامنه‌های گنجانده شده در این بدافزار دقیقا در یک روز، هفت دامنه دیگر، ازجمله «Facedomainpc.com» و «Facedomaintv.com» را نیز به ثبت رسانده است که بعید نیست از این دامنه‌ها نیز برای سوء استفاده از بدافزارها استفاده کرده باشد.

 

جست‌وجوهای فنی «ایران‌وایر» نشان می‌دهند که دامنه‌های فوق را شخصی به نام «احسان میلانی» با ایمیل «[email protected]» از تهران به ثبت رسانده است.

 

 

کارشناسان شرکت ریورسینگ لبز در انتهای گزارش خود، با اشاره به هدف قرارگرفتن شهروندان از سوی حکومت‌های دیکتاتور، لزوم جدی گرفتن مقوله امنیت کاربران از سوی سازندگان تلفن همراه را گوشزد کرده و توجه به تنظیمات پیش‌فرض و تنظیمات دستی نرم‌افزار اندروید را به کاربران یادآور شده‌اند. هم‌چنین از کاربرانی که کارمند دولت و یا ادارات حساس هستند، خواسته‌اند ضمن رعایت مقررات امنیتی سازمان خود، گوشی همراه‌شان را نیز برای تنظیم مداوم و اسکن بدافزار به متخصصان ارایه کنند