بازگشت گرگ: بدافزار WolfRAT پیام‌رسان‌ها را هدف قرار می‌دهد

سه تن از اعضای Cisco Talos به نام وارن مرسر (Warren Mercer)، پال راسکاگنرز (Paul Rascagneres) و ویتور ونتورا (Vitor Ventura) که این بدافزار را تحلیل کرده‌اند، اشاره می‌کنند: «محتوای چت‌ها، اطلاعات واتس‌اپ و پیامک‌های سراسر جهان حاوی اطلاعات حساسی هستند و هنگامی که مردم از طریق گوشی خود ارتباط برقرار می‌کنند، انتخاب می‌کنند که این مسئله را فراموش کنند. ما می‌بینیم که WolfRAT به طور خاص یک برنامک چت رمزنگاری شده محبوب در آسیا به نام لاین را هدف می‌گیرد. این نشان می‌دهد که حتی یک کاربر محتاط با مقداری آگاهی از رمزنگاری سرتاسری چت همچنان می‌تواند تحت سلطه و زیر نظر WolfRAT باشد.»

مرسر معتقد است آلودگی از طریق فیشینگ یا اسمیشینگ (فیشینگ از طریق پیامک) رخ داده است. سرورهای کنترل و فرمان (C2) مورد استفاده در این کمپین در تایلند واقع اند و نام دامنه آن‌ها حاوی اسم غذاهای تایلندی است که نشان می‌دهد احتمالاً از نام این غذاها برای فریب دادن کاربر استفاده شده است.

عملکرد کمپین

WolfRAT پس از دانلود شدن، خود را به شکل سرویس‌های مجاز مثل اپ‌های گوگل پلی یا به‌روزرسانی فلش نشان می‌دهد. این‌ها پکیج‌هایی با عملکرد عادی هستند و نیازی به تعامل کاربر ندارند. برای مثال بدافزار از یک نام پکیج مثل “com.google.services” استفاده می‌کند تا خود را به جای یک اپلیکیشن گوگل پلی جا بزند.

پژوهشگران با تحقیق بیشتر دریافتند که این تروجان مبتنی است بر یک بدافزار به نام DenDroid که قبلاً لو رفته بود. DenDroid که در سال 2014 کشف شده بود، بدافزار نسبتاً ساده‌ای است. برای مثال این بدافزار از فریمورک Android accessibility که مورد استفاده بسیاری از بدافزارهای اندرویدی است، استفاده نمی‌کند. DendRoid شامل دستوراتی برای گرفتن عکس و ویدئو، ضبط صدا و بارگذاری تصاویر است.

محققان حداقل چهار نسخه اصلی از WolfRAT را شناسایی کرده‌اند که نشان می‌دهد این تروجان شدیداً در حال توسعه است. نمونه‌هایی از WolfRAT مشاهده شده که نشان می‌دهند این بدافزار از ژانویه 2019 فعال بوده است. البته یکی از دامنه‌های C2 (ponethus[.]com) در سال 2017 ثبت شده است. نسخه‌های بدافزار قابلیت‌های مختلفی از قبیل فیلم گرفتن از صفحه نمایش را نشان می‌دهند. در هنگام تحلیل نمونه‌های اولیه بدافزار مشخص شد که این ویژگی هرگز توسط بدافزار مورد استفاده قرار نمی‌گیرد. اما در نمونه‌های بعدی وقتی بدافزار متوجه می‌شود که واتس‌اپ در حال اجرا است، ضبط صفحه نمایش را آغاز می‌کند.

به علاوه، نسخه‌های جدیدتر، دسترسی‌هایی مثل ACCESS_SUPERUSER (که از اندروید 5 به بعد منسوخ شد) و DEVICE_ADMIN (که از اندروید 10 به بعد منسوخ شد) را درخواست می‌کنند که هر دو روشی برای کسب دسترسی رده بالا هستند. دسترسی دیگری که اضافه شده است، READ_FRAME_BUFFER است که مهم‌ترین API استفاده شده است، زیرا در گرفتن تصویر از صفحه نمایش به کار می‌رود. نسخه‌های جدیدتر به دنبال فعالیت فیسبوک مسنجر، واتس‌اپ و لاین می‌گردند و در هنگام باز شدن این پیام‌رسان‌ها از آن‌ها عکس می‌گیرند و به سرور C2 می‌فرستند. محققان میگویند سازنده این بدافزار «سطح عجیبی از اقدامات آماتوری را از خود نشان داده است، از همپوشانی بین کدها گرفته تا کپی/پیست از پروژه‌های متن‌باز، کلاس‌هایی که شیئی از آن‌ها ساخته نشده، پکیج‌های ناپایدار و پنل‌هایی که دسترسی به آن‌ها  کاملاً آزاد است.»

ارتباط با Wolf Research

محققان، این کمپین را با شرکت Wolf Research  مرتبط می‌دانند، زیرا بین زیرساخت‌های WolfRAT و Wolf Research همپوشانی‌هایی وجود دارد و همچنین شباهت‌هایی در نام‌گذاری پنل‌های آن‌ها دیده می‌شود. Wolf Research شرکتی بود که ابزارهای جاسوسی تولید می‌کرد و ظاهراً تعطیل شده است، اما به نظر می‌رسد گردانندگان آن همچنان فعال هستند.

منبع: Threatpost