‍هشدار پژوهشگران امنیتی: بدافزار FurBall از خرداد ۱۴۰۰ در حال نظارت روی گوشی کاربران ایرانی است

 گروهی از پژوهشگران امنیتی در گزارشی تکان‌دهنده از تلاش برای نظارت روی گوشی ایرانی‌ها ازطریق بدافزار خبر داده‌اند. این بدافزار در قالب اپلیکیشن ترجمه‌ی انگلیسی به فارسی توزیع شده است.

 پژوهشگران امنیتی شرکت ESET موفق‌ شده‌اند نسخه‌ی جدید بدافزار اندرویدی FurBall را شناسایی کنند که به‌ادعای آن‌ها، گروه هکری APT-C-50 در کمپینی با عنوان Domestic Kitten (بچه‌گربه‌ی اهلی) از آن استفاده کرده است. کمپین Domestic Kitten پیش‌تر به‌دلیل انجام عملیات نظارت موبایلی روی شهروندان ایران خبرساز شده بود و به‌نوشته‌ی خبرگزاری WeLiveSecurity، نسخه‌ی جدید FurBall نیز مجدداً ایرانی‌ها را هدف قرار داده است.

 پژوهشگران می‌گویند بدافزار FurBall از ژوئن ۲۰۲۱ (خرداد و تیر ۱۴۰۰) در قالب اپلیکیشن ترجمه ازطریق نسخه‌ی کپی‌شده‌ی یکی از وب‌سایت‌های ایرانی توزیع شده است. وب‌سایت اصلی که دفتر مرکزی‌اش در میدان انقلاب تهران قرار دارد، «مقالات و مجلات و کتاب‌های ترجمه‌شده» به کاربرانش ارائه می‌دهد. اپلیکیشن حاوی بدافزار FurBall در وب‌سایت VirusTotal آپلود شد و پژوهشگران امنیتی توانستند ازطریق ابزارهایی ویژه شروع به تجزیه‌و‌تحلیل آن کنند.

 اپلیکیشن بررسی‌شده‌ی پژوهشگران صرفاً خواستار دسترسی به فهرست مخاطبان گوشی بوده است؛ سیاستی که به‌نظر می‌رسد با هدف شناسایی‌نشدن بدافزار اتخاذ شده است. پژوهشگران می‌گویند که ممکن است این ویژگیِ نسخه‌ی جدید FurBall مرحله‌ی اول حمله‌ای گسترده‌تر ازطریق پیامک باشد.

 اگر توسعه‌دهنده‌ی بدافزار مجوزهای اپلیکیشن را گسترش دهد، امکان استخراج انواع دیگری از داده‌ها نظیر متن کلیپ‌بورد، متن پیامک، محل (لوکیشن) دستگاه، فهرست تماس‌ها، تماس‌های صوتیِ ضبط‌شده، متن تمامی نوتیفیکیشن‌های سایر اپلیکیشن‌ها، حساب‌های کاربری موجود در دستگاه، فهرست تمام فایل‌های روی دستگاه، اپلیکیشن‌های در حال اجرا، فهرست اپلیکیشن‌های نصب‌شده و اطلاعات گوشی فراهم می‌شود.

 بدافزار FurBall پس از نصب‌شدن روی گوشی، هر ۱۰ ثانیه یک‌ بار با سرورش ارتباط می‌گیرد و خواستار دریافت دستور می‌شود. کارشناسان می‌گویند نسخه‌ی جدید FurBall به‌جز تغییراتی در کد، هیچ قابلیت جدیدی درمقایسه‌با نسخه‌های قبلی ندارد.

 کارشناسان می‌گویند اپلیکیشن حاوی FurBall ازطریق نسخه‌ی کپی‌شده‌ی یکی از وب‌سایت‌های ایرانی توزیع شده است. به‌طور دقیق‌تر، گفته می‌شود که نسخه‌ی اندرویدی اپلیکیشن پس از کلیک روی عبارت «دانلود اپلیکیشن» روی گوشی هوشمند کاربران دانلود شده است. روی گزینه‌ی دانلود لوگو گوگل پلی دیده می‌شود؛ اما پس از کلیک روی آن از انتقال به گوگل پلی خبری نیست.

 کارشناسان می‌گویند استفاده از نسخه‌ی جدید FurBall نشان می‌دهد که برخلاف تصور برخی از افراد، کمپین Domestic Kitten همچنان فعال است و به هدف‌قراردادن ایرانی‌ها ادامه می‌دهد.

 توصیه می‌کنیم نه‌تنها روی گوشی، بلکه روی تمامی دستگاه‌های خود همواره آنتی‌ویروس نصب کنید. همچنین به‌غیر از فروشگاه‌های رسمی مثل اپ استور و گوگل پلی، اپلیکیشن‌های مدنظرتان را از جای دیگری دانلود نکنید.