12:20 1400/5/2
2141
شرکت بیتبانموفقیت ضدبدافزار بیتبان در شناسایی و پاکسازی بدافزار جاسوسی پگاسوس
بدافزار پگاسوس (Pegasus) متعلق به گروه NSO، شرکتی اسرائیلیست، که در سال ۲۰۱۶ با استفاده از ۳ آسیبپذیری روز صفر در iOS، و برخی اکسپلویتهای موجود در اندروید، طیف خاصی از فعالان حقوق بشر و برخی شخصیتهای سیاسی را مورد تهدید قرار داد.
عملکرد نسخه iOS بدافزار پگاسوس
ابتدا پیامک یا پیامی در شبکههای اجتماعی یا پیامرسانها برای کاربر موردنظر ارسال میشود، که حاوی یک لینک مخرب است. سپس در صورت کلیک کاربر بر آن، صفحهای در مرورگر قربانی باز و بلافاصله بسته میشود. در همین حین با استفاده از آسیبپذیریهای موجود در مرورگر یا سیستم عامل، بدافزار اصلی بر دستگاه قربانی نصب میگردد.
۳ آسیبپذیری روز صفر در iOS
۱. اختلال حافظه در WebKit
CVE-2016-4657: این آسیبپذیری در WebKit سافاری، به مهاجم این امکان را میدهد تا در صورت کلیک کاربر بر لینک مخرب، به دستگاه او نفوذ کند.
۲. نشت اطلاعات کرنل
CVE-2016-4655: با این آسیبپذیری، اطلاعات نشت یافته، به مهاجم ارسال میشود و از این طریق، مهاجم میتواند موقعیت کرنل در حافظه را محاسبه کند.
۳. اختلال در حافظه کرنل منجر به Jailbreak
CVE-2016-4656: با این آسیبپذیری، مهاجم بطور پنهان محدودیتهای نصب برنامهها را حذف میکند (Jailbreak) برنامههای نظارتی یا همان بدافزارها را بر دستگاه نصب میکند.
این آسیبپذیریها در نسخهی 9.3.5 iOS برطرف شدهاند.
اعمال مخرب نسخه iOS بدافزار پگاسوس
این بدافزار پس از اسکن دستگاه قربانی، ماژولهایی را بر آن نصب میکند که دسترسی کامل به میکروفون، دوربین و اپلیکیشنهای موجود بر دستگاه پیدا میکند و اعمال مخرب زیر را انجام میدهد:
۱. دسترسی به پیامهای ارسالی و دریافتی داخل اپلیکیشنها
۲. دسترسی به پیامکهای ارسالی و دریافتی
۳. نفوذ به تماسهای دستگاه و لاگ تماسها
۴. گرفتن اسکرینشات از صفحات
۵. دسترسی به تاریخچه مرورگر
۶. دسترسی به لیست مخاطبین
۷. ضبط لاگ صفحه کلید
سرقت تمامی پسوردها
دسترسی به موقعیت GPS
غیرفعال کردن بروزرسانیهای خودکار
باج افزار چیست؟ | معرفی انواع باج افزارها و روشهای مقابله با آن
برنامههای مورد نفوذ نسخه iOS بدافزار پگاسوس
• Gmail
• Facetime
• Facebook
• Line
• Mail.Ru
• Calendar
• WeChat
• Surespot
• Tango
• WhatsApp
• Viber
• Skype
• Telegram
• KakaoTalk
نسخه اندروید پگاسوس Chrysaor
توجه داشته باشید که این بدافزار مختص به iOS نیست و توان اجرای اعمال مخرب فوق را، بر دستگاههای اندرویدی نیز دارد. البته برای نفوذ به دستگاه و آلوده کردن آن، از تکنیکهای متفاوتی نسبت موارد مذکور، استفاده میکند.
نسخه اندروید پگاسوس، در قالب اپلیکیشن منتشر شده و انواع مختلفی دارد. هر کدام از انواع Chrysaor دارای شناسه، امضا، نام بسته و محتوای متفاوتی است.
عملکرد نسخه اندروید بدافزار پگاسوس Chrysaor
نسخه اندروید پگاسوس، از اکسپلویتهای شناخته شدهی اندروید برای نفوذ به دستگاه قربانی استفاده میکند. در مواردی که تحلیل آنها در آزمایشگاه بیتبان قرار داده شده، این بدافزار برای نفوذ به دستگاه، از تکنیک شناخته شدهی روت که Framaroot نامیده میشود استفاده میکند.
در این تکنیک دستگاه تنها با یک کلیک، روت میشود.
البته موارد دیگری نیز هستند، که مشابه نسخه iOS از آسیبپذیریهای روز صفر استفاده میکنند.
اعمال مخرب نسخه اندروید بدافزار پگاسوس
۱. دسترسی به پیامهای ارسالی و دریافتی داخل اپلیکیشنها
۲. دسترسی به پیامکهای ارسالی و دریافتی
۳. نفوذ به تماسهای دستگاه و لاگ تماسها
۴. گرفتن اسکرینشات از صفحات
۵. دسترسی به تاریخچه مرورگر
۶. دسترسی به لیست مخاطبین
۷. ضبط لاگ صفحه کلید
۸. مبهمسازی کد
۹. سرقت تمامی پسوردها
۱۰. دسترسی به موقعیت GPS
۱۱. غیرفعال کردن بروزرسانیهای خودکار
۱۲. حذف بدافزار تحت شرایطی خاص
برنامههای مورد نفوذ نسخه اندروید بدافزار پگاسوس
• WhatsApp
• Skype
• Facebook
• Viber
• Kakao
• Twitter
• Gmail
• Android’s Native Browser or Chrome
• Android’s Native Email
• Calendar
شناسایی بدافزار جاسوسی پگاسوس توسط اپلیکیشن ضدبدافزار بیتبان
اپلیکیشن ضدبدافزار بیتبان، نسخههای اندرویدی جاسوس افزار پگاسوس را شناسایی کرده و در صورتیکه این بدافزار بر دستگاه کاربران نصب باشد، آن را به عنوان برنامهای مخرب، به اطلاع قربانیان خواهد رساند.
در ادامه میتوانید لینک تحلیل برخی نسخههای اندروید پگاسوس را در آزمایشگاه بیتبان مشاهده نمایید:
#هک #جاسوس_افزار #نشت_اطلاعات #ضدبدافزار #بدافزار #اندروید