تحلیل بدافزار Monokle

گفته می‌شود که  Monokle توسط یک پیمانکار دفاعی روسی توسعه‌یافته است تا به سازمان‌های اطلاعاتی روسیه برای مداخله در انتخابات ریاست جمهوری سال ۲۰۱۶ ایالات‌متحده کمک کند. به گفته شرکت امنیتی لوک آوت، قابلیت دسترسی از راه دور تروجان Monokle باقابلیت‌های نظارتی متعددی همراه شده که امکان جاسوسی از راه دور را فراهم می‌کند. بااینکه بدافزار Monokle فعلاً تنها دستگاه‌های اندروید را هدف قرار داده اما محققان به نمونه‌هایی از بدافزار اشاره‌کرده‌اند که حاوی دستورات غیرقابل استفاده خاصی بوده‌اند.

این دستورات خبر از وجود نسخه‌ای برای iOS می‌دهند و احتمالاً هکرها در آینده قصد دارند دستگاه‌های مبتنی بر این سیستم‌عامل را نیز هدف قرار دهند. در حال حاضر تعداد کاربران آلوده‌شده به این تروجان مشخص نیست اما نشانه‌هایی از فعالیت ناگهانی آن در منطقه قفقاز مشاهده‌شده؛ منطقه‌ای که شامل ارمنستان، آذربایجان و گرجستان می‌شود. برخی هدف‌های بدافزار هم در سوریه بوده‌اند.

قابلیت‌های بدافزار :
این بد‌افزار از چندین روش جدید استفاده می‌کند، ازجمله اصلاح فروشگاه گواهینامه‌های معتبر اندروید، که می‌تواند برای روت کردن شبکه‌های فرمان و کنترل از طریق پورت‌های اینترنت TCP، ایمیل، پیامک یا تلفن مورداستفاده قرار گیرد.مونوکل می‌تواند گواهینامه‌های مورد اعتمادی را نصب کند که دسترسی روت به دستگاه را فراهم می‌کند.

پس‌ازآن هکرها قادر خواهند بود قابلیت‌های موردنظر خود برای سرقت داده‌ها را روی گوشی هدف پیاده‌سازی کنند. بدافزار مونوکل همچنین می‌تواند به‌عنوان کی لاگر عمل کند یا تصویر و ویدیو ثبت کند. علاوه بر این امکان استخراج تاریخچه اپلیکیشن هایی ازجمله مرورگرها، سرویس‌های شبکه‌های اجتماعی و پیام‌رسان‌ها و نیز قابلیت ردیابی موقعیت مکانی کاربر را دارد.

بیشتر این دسترسی‌ها به‌واسطه کاوش در سرویس‌های دسترسی گوگل در اندروید (accessibility services) و سوءاستفاده از آن برای سرقت داده‌ها از اپ های ثالث ممکن می‌شود. به‌این‌ترتیب هکرها قادر می‌شوند با سرقت مجموعه متن‌های پیش‌بینی‌شده کاربر (predictive-text) از موضوعات موردعلاقه او آگاه شوند. این بدافزار پیشرفته همچنین امکان یافتن پسوردها از طریق ضبط صفحه را دارد.

از دیگر ویژگی‌های Monokle می‌توان به امکان مانیتورینگ و نظارت آفلاین بد‌افزار در شرایطی که اتصال اینترنت وجود ندارد، شاره کرد.

برخی دیگر از قابلیت‌های این بدافزار:
•    بازیابی اطلاعات تقویم 
•    بازیابی فرهنگ لغت کاربر
•    ضبط صدا محیطی
•    ردیابی مکانی دستگاه تلفن همراه
•    دانلود فایل‌های هکر
•    پاک کردن خود از روی گوشی و پاک کردن ردپا از روی گوشی
•    برقراری تماس‌های خروجی
•    ضبط تماس‌ها
•    Keylogger، گرفتن اسکرین شات و بازیابی تاریخ تماس.
•    گرفتن عکس و فیلم 
•    جمع‌آوری اطلاعات از WhatsApp، Instagram، VK، اسکایپ و IMO
•    بازیابی مخاطبین، راه‌اندازی مجدد دستگاه و به دست آوردن لیست برنامه‌های نصب‌شده.
•    دریافت اطلاعات و جزئیات Wi-Fi 

نحوه انتشار  :

نحوه انتشار بدافزار Monokle مشخص نیست اما محققان معتقدند برخی نمونه‌های آن در نسخه‌های آلوده از اپلیکیشن های واقعی جای گرفته‌اند. بدافزار در چند نسخه از برنامه‌های قانونی مانند اسکایپ، به‌روزرسانی گوگل، سیگنال، اکسپلورر و سایر برنامه‌های کاربردی پنهان‌سازی شده است.روش‌های فیشینگ هم احتمالاً در انتشار آن مؤثر بوده‌اند.

این بدافزار از سرویس‌های دسترسی برای ضبط اطلاعات از برنامه‌های شخص ثالث مانند مایکروسافت ورد، Google Docs، فیس بوک، واتساپ و سایر برنامه‌ها استفاده می‌کند. شرکت لوک آوت زیرساخت‌های بدافزار را با شرکت روسی Special Technology Centre مستقر در سن‌پترزبورگ مرتبط می‌داند.

تحلیل نهایی کارشناس :
با توجه به اینکه انتشار این بدافزار از طریق پنهان‌سازی خود در اپلیکیشن های قانونی است به کاربران توصیه می‌شود نرم‌افزارهای موبایلی را از سایت‌های معتبر و فروشگاه‌های معتبر عرضه نرم‌افزار دریافت کنند.

همچنین حریم خصوصی و داده‌های شخصی ذخیره‌شده در دستگاه‌های تلفن همراه و فضای ذخیره‌سازی ابری ، اکنون از تهدیدات امنیتی سایبری آسیب‌پذیرتر است، بنابراین برای بالا بردن امنیت اطلاعات خود کاربران باید موارد زیر را رعایت کنند:

انتشار فایرفاکس ۳۵؛ رفع ۹ آسیب‌پذیری این مرورگر

استفاده از SSLv3 در مرورگرها متوقف خواهد شد؟

هکر ۱۸ ساله با استفاده از ۵ میلیون رکورد‌، نقص نرم افزار مدرسه را در معرض دید شما قرار می‌دهد

تحلیل بدافزار Monokle

برنامه CamScanner آلوده به بدافزار است

تهدیدات باج‌افزارها در سال ۲۰۱۹ دو برابر شده است

چگونه مى‌توان به واسطه استفاده از برنامه FaceApp در معرض خطرات امنیتی قرار گرفت