❌محققان موسسه lookout ابزار جاسوسی با نام BouldSpy کشف کرده‌اند که توسط «فراجا» روی گوشی دستگیرشدگان نصب شده است. این جاسوس‌افزار از مارس ۲۰۲۰ ردیابی شده اما بیشترین فعالیت‌های آن در اوج #اعتراضات_سراسری مردم ایران پس از قتل #مهسا_امینی رخ داده است.

❌در حالی که BouldSpy شامل کد باج‌افزاری است، محققان Lookout ارزیابی می‌کنند که از این قابلیت استفاده نشده اما می‌تواند نشان‌دهنده توسعه مداوم این ابزار باشد.

❌بر اساس تجزیه و تحلیل lookout از داده‌های استخراج شده از سرورهای کنترل جاسوس افزار، این #جاسوس_افزار بیش از ۳۰۰ نفر از جمله گروه های اقلیت مانند کردهای ایرانی، بلوچ ها، آذری ها و احتمالاً گروه های مسیحی ارمنی قربانی گرفته است.

❌اولین مکان‌های شناخته شده پس از نصب جاسوس افزار، در نزدیکی ایستگاه‌های پلیس استانی، ایستگاه‌های پلیس سایبری و تاسیسات فرماندهی نیروی انتظامی است. بر این اساس این نظریه مطرح شده که دستگاه قربانی پس از بازداشت یا دستگیری مصادره و به طور فیزیکی آلوده به جاسوس افزار می‌شود.

❌این جاسوس افزار امکان دسترسی به حساب‌های کاربری دستگاه، لیست اپ‌های نصب شده، تاریخچه مرورگر، ضبط تماس، ثبت عکس، لیست تمام فایل‌های موجود در دستگاه و ضبط صدا را دارد. همچنین این جاسوس افزار توانایی ضبط تماس‌های صوتی در پیام‌رسان‌های مختلف را دارد.

❌این جاسوس افزار همچنین می‌تواند دستورات را از طریق پیامک دریافت کند، که این ویژگی نرم افزار جاسوسی را قادر می‌سازد تا اطلاعات قربانیان حتی در مناطقی که دسترسی به اینترنت ندارند، مخابره شود.

@PaskoochehBot
@Paskoocheh

🔻نسخه جدیدی از نرم افزار #جاسوسی اندروید "Mandrake" در پنج اپلیکیشن موجود در #گوگل‌پلی یافت شده است که این اپلیکیشن‌ها ۳۲ هزار بار از گوگل‌پلی دانلود شده‌اند.

❌بیت‌دیفندر اولین بار در سال ۲۰۲۰ این #جاسوس_افزار را شناسایی کرد و محققان قابلیت های جاسوسی پیچیده این #بدافزار را برجسته کردند. کسپرسکی به تازگی گزارش داده که یک نوع جدید از Mandrake که دارای ابهام و قابلیت‌های فرار بهتر است از طریق پنج اپلیکیشن به فروشگاه گوگل‌پلی نفوذ کرد.

❌این برنامه‌ها حداقل یک سال در دسترس بوده‌اند و آخرین آن یعنی AirFS، که از نظر آلودگی موفق‌ترین بود، در پایان مارس ۲۰۲۴ حذف شد. اپ‌های AirFS، اپلیکیشن Astro Explorer، اپلیکیشن Amber، اپلیکیشن CryptoPulsing و Brain Matrix جاسوس افزارهای حذف شده هستند.

❌نرم‌افزار Mandrake با اکثر بدافزارهای اندرویدی که معمولا در فایل DEX ( فرمت DEX فرمت فایلی است که توسط #اندروید برای اجرای برنامه ها استفاده می شود) برنامه پنهان می شوند، متفاوت است. در عوض این جاسوس‌افزار اولین مرحله خود را در یک کتابخانه بومی پنهان می‌کند. هنگامی که برنامه مخرب نصب می‌شود، این کتابخانه دارای عملکردهایی برای رمزگشایی و بارگذاری فایل مرحله دوم DEX از پوشه دارایی‌های برنامه در حافظه است. مرحله دوم مجوزهایی برای ترسیم همپوشانی‌ها می‌خواهد و یک کتابخانه بومی دیگر بارگیری می‌کند که گواهی را برای ارتباط ایمن با سرور فرمان و کنترل رمزگشایی می‌کند.

❌پس از برقراری ارتباط با سرور، برنامه پروفایلی از دستگاه را ارسال می‌کند. اگر دستگاه مناسب باشد، سرور جزء اصلی Mandrake (مرحله سوم) را ارسال می‌کند.

❌پس از فعال‌سازی، جاسوس‌افزار Mandrake می‌تواند فعالیت‌های مخرب مختلفی مانند جمع‌آوری داده‌ها، ضبط و نظارت بر صفحه، اجرای دستورات، شبیه‌سازی ضربه‌های کاربر، مدیریت فایل‌ها و نصب برنامه‌ها را انجام دهد.

❌مهاجمان همچنین می‌توانند با نشان دادن اعلان‌های جعلی که به نظر می‌رسد از گوگل‌پلی هستند، کاربران را فریب دهند تا فایل‌های مخرب بیشتری را نصب کنند و این روند را قابل اعتماد نشان دهند.

@PaskoochehBot
@Paskoocheh

🔻نسخه جدیدی از نرم افزار #جاسوسی اندروید "Mandrake" در پنج اپلیکیشن موجود در #گوگل‌پلی یافت شده است که این اپلیکیشن‌ها ۳۲ هزار بار از گوگل‌پلی دانلود شده‌اند.

❌بیت‌دیفندر اولین بار در سال ۲۰۲۰ این #جاسوس_افزار را شناسایی کرد و محققان قابلیت های جاسوسی پیچیده این #بدافزار را برجسته کردند. کسپرسکی به تازگی گزارش داده که یک نوع جدید از Mandrake که دارای ابهام و قابلیت‌های فرار بهتر است از طریق پنج اپلیکیشن به فروشگاه گوگل‌پلی نفوذ کرد.

❌این برنامه‌ها حداقل یک سال در دسترس بوده‌اند و آخرین آن یعنی AirFS، که از نظر آلودگی موفق‌ترین بود، در پایان مارس ۲۰۲۴ حذف شد. اپ‌های AirFS، اپلیکیشن Astro Explorer، اپلیکیشن Amber، اپلیکیشن CryptoPulsing و Brain Matrix جاسوس افزارهای حذف شده هستند.

❌نرم‌افزار Mandrake با اکثر بدافزارهای اندرویدی که معمولا در فایل DEX ( فرمت DEX فرمت فایلی است که توسط #اندروید برای اجرای برنامه ها استفاده می شود) برنامه پنهان می شوند، متفاوت است. در عوض این جاسوس‌افزار اولین مرحله خود را در یک کتابخانه بومی پنهان می‌کند. هنگامی که برنامه مخرب نصب می‌شود، این کتابخانه دارای عملکردهایی برای رمزگشایی و بارگذاری فایل مرحله دوم DEX از پوشه دارایی‌های برنامه در حافظه است. مرحله دوم مجوزهایی برای ترسیم همپوشانی‌ها می‌خواهد و یک کتابخانه بومی دیگر بارگیری می‌کند که گواهی را برای ارتباط ایمن با سرور فرمان و کنترل رمزگشایی می‌کند.

❌پس از برقراری ارتباط با سرور، برنامه پروفایلی از دستگاه را ارسال می‌کند. اگر دستگاه مناسب باشد، سرور جزء اصلی Mandrake (مرحله سوم) را ارسال می‌کند.

❌پس از فعال‌سازی، جاسوس‌افزار Mandrake می‌تواند فعالیت‌های مخرب مختلفی مانند جمع‌آوری داده‌ها، ضبط و نظارت بر صفحه، اجرای دستورات، شبیه‌سازی ضربه‌های کاربر، مدیریت فایل‌ها و نصب برنامه‌ها را انجام دهد.

❌مهاجمان همچنین می‌توانند با نشان دادن اعلان‌های جعلی که به نظر می‌رسد از گوگل‌پلی هستند، کاربران را فریب دهند تا فایل‌های مخرب بیشتری را نصب کنند و این روند را قابل اعتماد نشان دهند.

@PaskoochehBot
@Paskoocheh

🔻نسخه جدیدی از نرم افزار #جاسوسی اندروید "Mandrake" در پنج اپلیکیشن موجود در #گوگل‌پلی یافت شده است که این اپلیکیشن‌ها ۳۲ هزار بار از گوگل‌پلی دانلود شده‌اند.

❌بیت‌دیفندر اولین بار در سال ۲۰۲۰ این #جاسوس_افزار را شناسایی کرد و محققان قابلیت های جاسوسی پیچیده این #بدافزار را برجسته کردند. کسپرسکی به تازگی گزارش داده که یک نوع جدید از Mandrake که دارای ابهام و قابلیت‌های فرار بهتر است از طریق پنج اپلیکیشن به فروشگاه گوگل‌پلی نفوذ کرد.

❌این برنامه‌ها حداقل یک سال در دسترس بوده‌اند و آخرین آن یعنی AirFS، که از نظر آلودگی موفق‌ترین بود، در پایان مارس ۲۰۲۴ حذف شد. اپ‌های AirFS، اپلیکیشن Astro Explorer، اپلیکیشن Amber، اپلیکیشن CryptoPulsing و Brain Matrix جاسوس افزارهای حذف شده هستند.

❌نرم‌افزار Mandrake با اکثر بدافزارهای اندرویدی که معمولا در فایل DEX ( فرمت DEX فرمت فایلی است که توسط #اندروید برای اجرای برنامه ها استفاده می شود) برنامه پنهان می شوند، متفاوت است. در عوض این جاسوس‌افزار اولین مرحله خود را در یک کتابخانه بومی پنهان می‌کند. هنگامی که برنامه مخرب نصب می‌شود، این کتابخانه دارای عملکردهایی برای رمزگشایی و بارگذاری فایل مرحله دوم DEX از پوشه دارایی‌های برنامه در حافظه است. مرحله دوم مجوزهایی برای ترسیم همپوشانی‌ها می‌خواهد و یک کتابخانه بومی دیگر بارگیری می‌کند که گواهی را برای ارتباط ایمن با سرور فرمان و کنترل رمزگشایی می‌کند.

❌پس از برقراری ارتباط با سرور، برنامه پروفایلی از دستگاه را ارسال می‌کند. اگر دستگاه مناسب باشد، سرور جزء اصلی Mandrake (مرحله سوم) را ارسال می‌کند.

❌پس از فعال‌سازی، جاسوس‌افزار Mandrake می‌تواند فعالیت‌های مخرب مختلفی مانند جمع‌آوری داده‌ها، ضبط و نظارت بر صفحه، اجرای دستورات، شبیه‌سازی ضربه‌های کاربر، مدیریت فایل‌ها و نصب برنامه‌ها را انجام دهد.

❌مهاجمان همچنین می‌توانند با نشان دادن اعلان‌های جعلی که به نظر می‌رسد از گوگل‌پلی هستند، کاربران را فریب دهند تا فایل‌های مخرب بیشتری را نصب کنند و این روند را قابل اعتماد نشان دهند.

@PaskoochehBot
@Paskoocheh