از تلفن همراه اندرویدی برخی بازداشتشدگان در اعتراضات اخیر ایران، نوعی بدافزار کشف شده که تقریبا امکان هرنوع جاسوسی را فراهم میکند.
این جاسوسافزار بنام (l3mon) با فایل نصبی (com.etechd.l3mon.apk)، در صورت آلوده سازی تلفن هوشمند قربانی، قادر است به دفترچه تلفن، اتصالات اینترنتی، تماسهای دریافتی و گرفته شده، پیامکهای ارسالی و دریافتی، میکروفون و امکان ضبط صدا، موقعیت مکانی، لیست برنامههای نصب شده، لیست دسترسیهای فرعی، نظارت بر کلمههای تایپ شده به صورت زنده، لیست اعلانها، لیست وایفای تلفن همراه راه برای بازیگران پشت پرده آن فراهم میکند.
این جاسوسافزار که نسخهای از آن به دست صدای آمریکا رسیده، پیش از این نیز در اشکال دیگری تحت عنوان «تلگرام با اینترنت رایگان» توزیع شده بود.
شرکتهای امنیتی متفاوتی، مانند «داکتر وب» (Dr.Web) این جاسوسافزار را ازجمله بدافزارهای اندرویدی خانواده (Android.SmsSpy.853.origin) معرفی کرده و شرکت امنیتی «کسپروسکی» ارائه کننده آنتیویروس (Kaspersky) آن را در دسته بندی تروجانهای دستگاههای اندرویدی قرار داده است.
فایل نصبی جاسوس افزار (com.etechd.l3mon) در واقع یک محصول از (l3mon) است. این محصول یک تروجان مدیریت از راه دور دستگاههای اندرویدی که به صورت ابر محور (cloud based)، به زبان جاوا اسکریپت و با استفاده از محیط (NodeJS) طراحی شده و با مجوز نرمافزار متن باز در درسترس عموم است.
(l3mon) معمولا توسط مجرمان سایبری برای سرقت جزئیات کارت اعتباری، جزئیات کارت شناسایی، رمز عبور و سایر اطلاعات حساس استفاده شده و عموما از طریق ایمیل و یا پیوندهای آلوده، پلتفرمهای شخص ثالث و یا حتی گاهی از طریق جعل هویت برنامههای دیگر و یا پنهان شده پشت برنامههای موجود در فروشگاه (Goole Play) به دستگاه قربانی راه پیدا میکند. اما در صورت دسترسی فیزیکی به تلفن همراه افراد، انتقال و نصب دستی آن نیز امکان پذیر است.
این تروجان متن باز هم قابلیت نصب بر روی رایانههای شخصی را دارا است و هم قابلیت نصب بر روی سرورهای مجازی با کاربری ابری. عوامل پشت پرده بدافزار یافت شده در تلفن همراه معترضان ایرانی، (l3mon) را در روی یک سرور آلمانی فعال کرده و دادههای قربانی را در محلی در خارج از خاک ایران دخیره سازی و مدیریت میکردند.
بهترین راه برای شناسایی آلودگی گوشیهای اندرویدی به این جاسوس افزار، استفاده از آنتی ویروسهای معتبر پشتبانی کننده تلفنهای هوشمند است.
در صورت عدم دسترسی به چنین نرمافزارهای امنیتی، از میزان مصرف بیش از حد باطری تلفن و یا بررسی دسترسیهای داده شده به برنامهها نیز وجود چنین بدافزاری را تا حد زیادی میتوان تشخیص داد.
گزینه (Battery Usage) در بخش تنظیمات گوشی نشان دهنده میزان مصرف باطری توسط هر یک از برنامههای نصب شده روی تلفن همراه است. اگربرنامهای درحال مصرف بیش از یک معمول انرژی ذخیره شده باطری باشد، احتمالا بدافزار (l3mon) پشت آن برنامه پنهان شده است و باید بلافاصله آن را از گوشی همراه حذف کرد.
از گزینه (Connections) در بخش تنظیمات گوشی نیز میتوان میزان مصرف دیتای هربرنامه را مشاهده کرد. مصرف غیرمعمول یک برنامه از دیتای اینترنتی میتواند نشانگر آلودگی گوشی به (l3mon) باشد.
اگر با دو شیوه بالا امکان یافتن و یا غیرفعال کردن بدافزار حاصل نشد، بهترین کار قراردادن گوشی در وضعیت امن (Safe Mode) است. برای اینکار باید دگمه خاموش تلفن را برای مدتی نگهداشت تا دستگاه خاموش و مجددا روشن شده و فهرست گزینهها نمایان شود. از میان گزینهها مورد وضعیت امن را انتخاب کرده و در راهاندازی مجدد، تلفن همراه در وضعیت امن قرار میگیرد.
در صورت عدم اطمینان به موارد بالا بهتر است تلفن همراه توسط یک متخصص معاینه فنی شده و یا نسخه کارخانهای اندروید بازنشانی شود.