استفاده از ضعف امنیتی اندروید برای حمله به حساب روزنامه نگاران و فعالان سیاسی توسط هکرها

طی هفته‌های گذشته هکرهایی که روزنامه نگاران و فعالان سیاسی را با استفاده از روش‌های ارسال بدافزار و ایمیل‌های فیشینگ مورد حمله قرار می دادند، هم اکنون با افزودن بر دامنه حملات خود، با توجه به ضعف امنیتی گوشی‌های همراه با سیستم عامل اندروید، به هک‌کردن گوشی کاربران دارای این سیستم عامل اقدام می کنند.

به گزارش تارنگار حقوق بشر در ایران به نقل از کمپین بین المللی، با توجه به تمرکز روی هدف قرار دادن فعالان مدنی و سیاسی، انتظار می رود این هکرها چنین حملاتی را به قصد دراختیار گذاشتن اطلاعات این افراد برای نهادهای حکومتی انجام داده باشند.

در آخرین نمونه از این حمله‌ها در تاریخ ۳۱ مرداد ماه ۹۵، (۲۱ اگوست)، فردی ناشناس در فیس‌بوک با یکی از فعالین سیاسی سرشناس ساکن پاریس تماس گرفت و خود را یکی از شاگردان قدیمی او معرفی کرد. هکر با این عنوان که این فعال سیاسی «خیلی برای آنها زحمت کشیده است،» به او گفت که برای قدردانی از زحمات او استیکر‌هایی را با تصاویر وی ساخته است و فایلی را که دارای نام قربانی و پسوند APK است را برای او ارسال کرد که به گفته حمله کننده حاوی استیکرهای این فعال سیاسی است.

با باز کردن این برنامه، هکرها کنترل فیس‌بوک این فعال سیاسی را در اختیار خود گرفتند.  آنها سپس با استفاده از دسترسی به فیس‌بوک او اقدام به ارسال پیام برای افرادی که او با آنها در تماس بوده است از جمله خبرنگارانی در رادیو فردا، دویچه‌وله و بی‌بی‌سی کردند که فقط در یک مورد موفق شدند حساب جی‌میل یک نفر از این خبرنگاران را برای چند ساعت هک کنند.

فایلی‌هایی که داری پسوند APK هستند، اپلیکیشن‌هایی هستند که در سیستم عامل اندروید قابلیت نصب دارند. به طور پیش فرض کاربران باید برای امنیت خود این فایل‌ها را فقط و فقط از مراکز دانلود معتبر مانند گوگل پلی دریافت کنند اما برخلاف سیستم عامل iOS، سیستم عامل اندروید این امکان را فراهم می‌کند تا کاربران بتوانند از مراکزی بجز گوگل پلی نیز این اپلیکیشن‌ها را نصب کنند. این موضوع که سیستم‌ عامل اندروید به کاربران خود اجازه می‌دهد تا به هر شکلی که تمایل دارند برنامه‌ها را بر روی دستگاه خود نصب کنند یک ضعف امنیتی به شمار می‌رود چرا که اگر چنین ویژگی در این سیستم عامل نبود هکرها قادر نبودند تا ابزارهای جاسوسی خود را به صورت مستقل و جدا بر روی دستگاه‌های قربانیان نصب کنند. مراکز دانلود معتبر مانند گوگل پلی و یا اپ استور اپلیکیشن‌ها را قبل از در دسترس قرار دادن کاربران به صورت دقیق و مو شکافانه مورد برسی‌های امنیتی قرار می‌دهند.

فایل ارسال شده در واقع توسط برنامه DroidJack – Android Remote Administration Tool ساخته و ایجاد شده است. DroidJack برنامه‌ای است که به برنامه نویسان سیستم عامل اندروید این امکان را می‌دهد که تروژان‌ (یا نوعی بدافزار که برای دسترسی مخفیانه به اطلاعات افراد است) طراحی کنند که توسط آن بتوانند از راه دور(Remote Access Trojan) به کوشی قربانی دسترسی داشته باشند.

Access-1024x629

تصویر فهرست دسترسی‌ها این بدافزار بر روی گوشی قربانی

 در این نمونه از تروژان ساخته شده توسط هکرهای دولتی ایران، این برنامه قابلیت دسترسی به بخش‌های پیامک، دوربین، میکروفن، اپلیکیشن‌ها، محل جغرافیایی گوشی، حافظه اصلی و جانبی، دفترچه تلفن، اتصال‌های شبکه اینترنت از جمله وایفای و دیتا موبایل، فهرست تماس‌های تلفنی گرفته شده و سایر امکانات یک گوشی موبایل را دارا است. به عبارت ساده تر در صورت فعال شدن چنین بدافزاری روی یک تلفن‌ همراه، هر حرکتی که قربانی با گوشی موبایل خود و یا تبلت اندرویدی خود انجام دهد توسط هکرها قابل شنود و حتی کنترل است بدون آنکه او در جریان چنین اقدامی قرار گیرد. علاوه براین، هکرها حتی قادر هستند با گوشی قربانی کار کنند و به عنوان نمونه پیامک ارسال کنند یا تلفن بزنند.

این هکرها برای ایجاد اطمینان در قربانی حتی تصویر او را در داخل این فایل قرار داده بودند. تا در صورت نصب برنامه کاربر با دیدن تصویر خود اطمینان پیدا کند شاگردان او استیکر را ساخته‌اند.

Victim-Photo-1024x572

تصویر قربانی در فایل این بدافزار قرار داده شده بود تا او را فریب دهند

پیش از این  نمونه دیگری از هک کردن تلفن‌های اندروید را توسط این هکرها شناسایی شده بود که در آن، اپلیکشن جعلی IMO برای کاربران ارسال شده بود و هکرها به جای استفاده از DroidJack از ابزار Metasploit برای ساخت بدافزار و دسترسی به اطلاعات کاربر تلفن همراه استفاده کرده بودند.

همچنین در پیام‌های ارسالی برای این خبرنگاران پس از دسترسی به حساب فیس‌بوک فعال سیاسی یاد شده، حمله کننده‌ها از روش دیگری نیز برای به دام انداختن قربانیان خود استفاده کردند. این حمله کننده با ارسال یک لینک جعلی به فایلی در گوگل درایو از آن خبرنگار درخواست کردند تا برای پوشش خبری دادن به اتفاقاتی که آن را «مهم و فوری» عنوان کرده بودند، روی این لینک کلیک کنند تا اخبار را دریافت کنند.

Facebook-Message
تصویر پیام ارسالی در فیس بوک که توسط قربانی اول که هک شده بود برای یکی از خبرنگاران ارسال شد

حساب جیمیل یکی از این خبرنگاران که قربانی این حملات شد برای مدت ۲۴ ساعت در کنترل هکرها بود. به صورت طبیعی وقتی سیستم تایید هویت دو مرحله‌ای فعال باشد پس از وارد کردن رمز، گوگل کد تایید هویت دو مرحله‌ای را برای کاربر به صورت پیامک ارسال می‌کند. حمله کننده با سوء استفاده از ارسال کد تایید هویت دو مرحله‌ای به صورت پیامک به روش زیر عمل کرد:

۱. با ایجاد اعتماد کاربر را به صفحه جعلی ورود به حساب گوگل هدایت می‌کند.

۲. کاربر با فرض اینکه در حال وارد شدن به حساب خود است، نام کاربری و رمز خود را وارد می‌کند.

۳. حمله‌کننده با دریافت نام کاربری و رمز قربانی یک درخواست وارد شدن بر روی حساب کاربری قربانی را به گوگل ارسال می‌کند.

۴. گوگل درخواست ورود به حساب حقیقی را که حمله کنند وارد کرده دریافت می‌کند و کد تایید هویت دو مرحله‌ای را برای قربانی به صورت پیامک ارسال می‌کند.

۵. قربانی با فرض اینکه این خود اوست که درخواست دریافت کد دو مرحله‌ای را داده است، کد حقیقی را که توسط گوگل به صورت پیامک دریافت کرد را در صفحه جعلی گوگل وارد می‌کند.

۶. این کد به مدت ۳۰ ثانیه دارای اعتبار است و حمله کننده که در همان لحظه در انتظار وارد کرد کد توسط قربانی ست، آن را دریافت می‌کند و به وسیله آن به حساب قربانی وارد می‌شود.

به این صورت همه چیز برای قربانی به شکلی طبیعی جلوه کرده وهکر موفق شده بود او را فریب دهد تا با استفاده از صفحه جعلی جیمیل رمز و کد تایید هویت دو مرحله‌ای را دریافت کند. پس از آن هکر با استفاده از سرورهایی در کشور بریتانیا به حساب ایمیل کاربر وارد شد.

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد.