کشف اپلیکیشن جاسوسی ساخت ایران؛ آلوده شدن ۶۰ هزار دستگاه اندرویدی!

بررسی‌های جدید نشان می‌دهد که اپلیکیشن نظارت تلفنی Spyhide که سازندگان ایرانی دارد، به‌طور مخفیانه داده‌های خصوصی را از ده‌ها‌ هزار دستگاه اندرویدی در سراسر جهان جمع‌آوری می‌کند.

اپ Spyhide یک برنامه stalkerware است که به‌طور گسترده مورد استفاده قرار گرفته است. این برنامه به گونه‌ای طراحی شده است که در صفحه اصلی تلفن قربانی پنهان بماند و تشخیص و حذف آن دشوار باشد. اصطلاح Stalkerware برای نشان دادن دسته‌ای از برنامه‌های کاربردی که اغلب به صورت مخفیانه روی دستگاه کاربر نصب می‌شوند و هدف آنها نظارت، پیگیری و ثبت فعالیت‌های کاربر است، به کار می‌رود. این برنامه‌ها می‌توانند طیف وسیعی از فعالیت‌ها را نظارت کنند.

نحوه کار این جاسوس افزار چگونه است؟

اپ Spyhide پس از نصب، بی‌صدا و پیوسته لیست مخاطبان، پیام‌ها، عکس‌ها، گزارش تماس‌ها و جزئیات موقعیت مکانی را آپلود می‌کند. یک هکر از سوئیس در یک پست وبلاگی نوشت که سازندگان این نرم‌افزارهای جاسوسی بخشی از محیط توسعه خود را بدون محافظت رها کرده‌اند. این اتفاق موجب شد که این هکر بتواند کد منبع داشبوردی که مهاجمان برای مشاهده داده‌های سرقت شده استفاده می‌کنند، ببیند. با بهره‌گیری از نقص در کد او توانست به پایگاه‌های اطلاعاتی در دسترسی پیدا کند و نشان دهد که عملیات مخفی جاسوس‌افزار چگونه کار می‌کند و اپراتورهای احتمالی آن چه کسانی هستند.

پایگاه داده این ابزار جاسوسی حاوی سوابق حدود ۶۰ هزار دستگاه اندرویدی بوده است. این سوابق از سال ۲۰۱۶ تا اواسط ژوئیه ۲۰۲۳ است. این سوابق شامل گزارش تماس‌ها، پیام‌های متنی و تاریخچه مکان دقیق مربوط به سال‌ها قبل و همچنین اطلاعات مربوط به هر فایل، مانند زمان ضبط است.

تجزیه و تحلیل‌ها نشان می‌دهد که شبکه نظارتی Spyhide از تمام قاره‌ها قربانی گرفته است. ایالات متحده بیش از ۳۱۰۰ دستگاه در معرض خطر دارد، برخی قربانیان ساکن امریکا هنوز هم تحت نظارت در شبکه هستند. از یکی از قربانیان در ایالات متحده بیش از ۱۰۰ هزار نقطه موقعیت مکانی آپلود شده است.

پایگاه داده Spyhide نشان می‌دهد که ۷۵۰ هزار نفر در این سرویس ثبت نام کرده بودند و قصد داشتند برنامه جاسوسی را روی دستگاه شخص دیگری نصب کنند. با این حال سوابق نشان می دهد که اکثر این کاربران واقعاً دستگاهی را با نرم‌افزارهای جاسوسی آلوده نکرده‌اند یا هزینه ای برای این سرویس پرداخت نکرده‌اند. شواهد نشان می‌دهد که بیشتر دستگاه‌های اندرویدی آلوده شده، توسط یک کاربر کنترل می‌شدند، در عین حال بیش از چهار هزار کاربر بیش از یک دستگاه آسیب‌دیده را کنترل می‌کردند.

داده‌های کشف شده شامل بیش از سه میلیون پیام متنی حاوی اطلاعات بسیار شخصی، مانند کدهای احراز هویت دو‌مرحله‌ای و پیوندهای بازنشانی رمز عبور بوده است. همچنین بیش از یک میلیون گزارش تماس و طول مکالمه، بیش از ۹۲۵ هزار لیست تماس حاوی نام و شماره تلفن؛ و ۳۲۸ هزار عکس و تصویر یافت شده. این داده‌ها همچنین جزئیاتی در مورد نزدیک به شش هزار ضبط مخفیانه داشت که به‌طور پنهانی از میکروفون تلفن قربانی ضبط شده است.

ساخت ایران، میزبانی شده در آلمان

در وب‌سایت Spyhide هیچ اشاره‌ای به توسعه‌دهندگان و سازندگان نشده است. در حالی که Spyhide سعی کرده هویت مدیران را پنهان کند، کد منبع حاوی نام دو توسعه‌دهنده ایرانی است که از این عملیات سود می‌برند. یکی از توسعه‌دهندگان مصطفی.م نام دارد که طبق اطلاعات پروفایل لینکدین او در حال حاضر در دبی سکونت دارد و توسعه‌دهنده دیگر محمد.آ است.

تک کرانچ به منظور درک بهتر عملکرد، جاسوس‌افزار را روی یک دستگاه مجازی نصب کرده و از یک ابزار تجزیه و تحلیل ترافیک شبکه استفاده کرد تا بفهمد چه داده‌هایی در داخل و خارج دستگاه جریان دارند. تجزیه و تحلیل ترافیک نشان داده که این برنامه داده‌های دستگاه مجازی را به سروری که توسط سرویس آلمانی «هتزنر» میزبانی می‌شده، ارسال می کرده است.

برنامه‌های جاسوس‌افزار اندروید، مانند Spyhide، اغلب شبیه برنامه‌های موجه یا فرآیندهای سیستمی هستند تا شناسایی نشوند. این امر پیدا کردن و شناسایی آن‌ها را دشوار می کند.

اپ Spyhide وانمود می‌کند که دو برنامه متفاوت است، یکی شبیه به یک برنامه گوگل به نام "تنظیمات گوگل" با نماد چرخ دنده است و دیگری شبیه یک برنامه زنگ گوشی به نام "T.Ringtone" با نماد نت موسیقی است. هر دوی این برنامه‌ها برای استفاده از داده‌های تلفن، مجوز دسترسی می‌خواهند و به محض دریافت مجوز، شروع به ارسال اطلاعات خصوصی فرد به سرورهای خود می‌کنند.