براساس اطلاعات منتشر شده از سوی شرکت گوگل، کاربران سیستمعاملهای اندروید و iOS در اروپا فریب خوردهاند تا برنامهای مخرب را نصب کنند تا بعد از آن تمام اطلاعات شخصیشان بهسرقت برود.
گزارشی که شرکت گوگل در روز پنجشنبه منتشر کرد، یافتههای دقیقی را از تحقیقات در حال انجام آنها در مورد فروشندگان نرمافزارهای جاسوسی تجاری بهعنوان بخشی از کمپین Project Zero در اختیار ما قرار میدهد.
گوگل، شرکت ایتالیایی RCS Labs را بهعنوان طرف احتمالی مسئول این حملات تشخیص داده است. گوگل ادعا میکند که RCS Labs از ترکیبی از تاکتیکها برای هدف قرار دادن کاربران در ایتالیا و قزاقستان با آنچه که حمله دانلودی با استفاده از درایو تلقی میشود، استفاده کرده است.
پیامی که در حال حاضر در دسترس قرار دارد، ادعا میکند که قربانی دسترسی به حساب یا سرویسهای خود را بهصورتی کامل از دست داده است و باید از طریق لینکی ارائه شده برای بازیابی سرویس وارد سیستم مورد نظر شود. لینکهای نصلی که توسط افراد سودجو ارسال میشوند، بهعنوان اعلانهای ارائهدهنده هدمات اینترنتی یا برنامههای پیامرسان نمایش داده خواهند شد.
در زمانی که قربانی به سایتی که لینکش در اختیار او قرار گرفته متصل میشود، لوگوهای واقعی و درخواستهای واقعی برای بازیابی حساب در اختیار آنها قرار میگیرد که در پشت تمام لوگوها و دکمهها لینکهای مربوط به برنامه مخرب مورد نظر وجود داشته است. اگر بخواهیم که برای واضحتر شدن این موضوع مثالی را بیان کنیم، میتوانیم بگوییم که یکی از انواع مختلفی از برنامههای مورد استفاده در این کمپین حمله سایبری، لوگو سامسونگ را به کاربران نشان میداد و در نهایت آنها را به یک وبسایت جعلی سامسونگ هدایت میکرد.
در نسخه اندرویدی این حمله، تمام کارهای انجام شده با استفاده از یک فایل با فرمت .apk انجام میشد. از آنجایی که برنامههای اندروید را میتوان بهصورتی آزادانه و حتی خارج از فروشگاه نرمافزاری پلیاستور دانلود و نصب کرد، نیازی نبود که افراد سودجو قربانیهای خود را قانع کنند که باید گواهیها و دسترسیهای خاصی را به آنها بدهند. این دست از قربانیان که دستگاههای اندرویدی را داشتند، مجوزهای بسیار زیادی مانند دسترسی به وضعیت شبکه، اطلاعات کاربران، اطلاعات تماس، خواندن دستگاههای ذخیرهسازی خارجی و موارد دیگر را در اختیار آنها قرار داده بودند.
این مسیر گفته شده در مورد کاربرانی که از دستگاههای iOS استفاده میکردند سختتر بود، چرا که آنها باید گواهیها و مجوزهای خاصی را قبول میکردند تا بتوانند برنامههای گفته شده را در اختیار داشته باشند. اگر کاربری تمام فرایندهای گفته شده را دنبال میکرد، گواهی امضا شده بهدرستی به برنامه مخرب این اجازه را میداد تا پس از نصب جانبی، تمامی حفاظتهای فروشگاه برنامهای اپل را دور بزند.
نسخه iOS این برنامه مخرب از شش اکسپلویت سیستمی مختلف برای استخراج اطلاعات از دستگاه استفاده میکرد که برنامه به چندین بخش تقسیم میشد که هر کدام از آنها یک اکسپلویت خاص را مورد استفاده قرار میدادند. چهار مورد از این اکسپلویتها توسط انجمن جیلبریک برای دور زدن لایه تایید برای باز کردن دسترسی روت کامل به سیستم نوشته شده است. بهدلیل آنکه سیستمعامل iOS در دل خود یک سندباکس دارد، حجم دادههای استخراج شده بسیار محدودتر بود. درحالیکه دادههایی مانند پایگاهداده محلی برنامههای پیامرسان واتساپ از قربانیان بهدست آمده بود، اما سندباکس مانع از ارتباط مستقیم برنامه و سرقت مستقیم اطلاعات از سایر برنامهها میشد.
گوگل درحالحاضر برای قربانیان اندرویدی این کمپین هشدارهایی را ارسال کرده است. این شرکت همچنین تغییراتی را در گوگل پلی پراتکت ایجاد و همچنین پروژههایی مانند Firebase خاصی را که توسط مهاجمان ممورد استفاده قرار میگرفت را غیر فعال نموده است. از طرفی دیگر ما هنوز اطلاعاتی از این موضوع در اختیار نداریم که آیا شرکت اپل توانسته تا گواهیهای مورد استفاده توسط این برنامه را متوقف کند یا اینکه هنوز افرادی وجود دارند که بهصورت روزانه قربانی این موضوع میشوند.
کاربرانی که درحالحاضر از آیفونهای ساخته شده توسط شرکت اپل استفاده میکنند، از مدتها قبل توسط این دست از افراد مورد سو استفاده قرار گرفتهاند. در ماه ژانویه 2022، عوامل دولتی موفق شدند که بدافزار را به دستگاههای مک فعالات طرفدار دموکراسی وارد کنند و اخیرا و در ماه آوریل هم موفق شدند که با استفاده از یک سری از حملات فیشینگ به حساب آیکلاد قربانیان، چیزی در حدود 650 هزار دلار را بربایند.
دارندگان دستگاههای مبتنیبر iOS و iPadOS در صورت عدم نصب گواهینامههای گفته شده، در برابر تمام حملاتی از این قبیل محافظت خواهند شد. همچنین این موضوع روش خوبی است که هر کاربر در صورت داشتن هرگونه سوال در مورد تماس برای اقدامی که از طریق سرویسهای پیامرسانی انجام میشود، مستقیما با استفاده از روشهای ارتباطی واضحی که قبل از پیام ایجاد شده است، با یک شرکت تماس بگیرد.