ردیابی جاسوسافزارها در هنگام مسدود بودن تلگرام در ایران
متن زیر خلاصهی اجرایی گزارش Qurium Media Foundation دربارهی افزایش جاسوسافزارها در زمان مسدود شدن تلگرام در دی ماه ۱۳۹۶ است. متن کامل دو گزارش این سازمان به انگلیسی در آدرسهای زیر دسترس است:
گزارش اول:
https://www.qurium.org/wp-content/uploads/2018/02/QMF_tracking_mobile_spyware_iran_rc1.2.pdf
گزارش دوم:
خلاصهی اجرایی گزارش اول:
“در اولین هفتهی ماهِ ژانویهی سال 2018، سازمان کورییِم (Qurium) گزارشهای متعددی از ایران، مبنی بر توزیع گستردهی پیوندهایی که شامل دانلود اپلیکیشنهای ویپیانِ جعلی بودند، دریافت کرد. اپلیکیشنهای اندرویدِ جعلی که از طریق پیامک پخش شده بودند، با سوء استفاده از مسدود شدن تلگرام، سعی در گمراه کردن کاربران برای نصب این اپلیکیشنها داشتند.
تا جایی که ما میدانیم، دو نمونه بدافزارِ متفاوت در هفتهی اولِ ژانویه پخش شد. اولین اپلیکیشن جعلی “فیلترشکن آمدنیوز” (Amadnews VPN) نام داشت و در حوزهی آمازون استوریج (Amazon Storage) قرار داشت. نمونهی دوم که هویت نرمافزار “psiphon6”را جعل کرده بود، ابتدا در سرویس ذخیرهی مجازیِ Backstory.com و سپس در serverclient12.tk قرار داشت.
تحلیلهای جزئیِ نمونههای جمعآوری شده نشان میدهد که این اپلیکیشنهای اندروید توانایی نفوذ به حریم شخصی و دسترسی به تمامی اطلاعات شخصیِ موجود در دستگاههای آلوده را، برای حملهکنندگانی که پشت نرمافزارِ جعلی سایفون۶ قرار دارند، فراهم میسازند. این بدافزارها از طریق خدماتِ اطلاعرسانیِ گوشیهای همراه در ایران، pushe.co، از راه دور کنترل میشوند و با دستیابی به فرآیند احراز هویت دو عاملی، قابلیت جاسوسیِ پیامک را دارند. علاوه بر این، حمله کننده میتواند به موقعیتِ مکانیِ گوشی و جزئیات تماسهای آن دسترسی پیدا کند. ردیابیِ کدِ منبعِ بدافزار، با استفاده از منابع اطلاعرسانی آزاد، منتهی به شخصی حقیقی به اسم «امیرپارسا دهفالی» (Amir Parsa Dehfoli) شد که در یک شرکتِ راهاندازی به نام «اد ونچر» (ad-venture.ir) مشغول به کار بوده یا هنوز هم هست.
هفتهی پیش، ما یافتههای خود را دراختیار جامعهی تخصصیِ امنیت که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (مرکز ماهر) نیز عضو آن است، گذاشتیم و انتظار داریم که اطلاعات کاملی از گردانندگان این حملهها و انگیزهی اصلی آنها به دست بیاوریم.”