کشف بدافزار جاسوسی در تلفن بازداشت‌شدگان اعتراضات در ایران

جاسوس‌افزار l3mon بر روی تلفن‌های هوشمند اندروید

از تلفن همراه اندرویدی برخی بازداشت‌شدگان در اعتراضات اخیر ایران، نوعی بدافزار کشف شده که تقریبا امکان هرنوع جاسوسی را فراهم می‌کند.

این جاسوس‌افزار بنام (l3mon) با فایل نصبی (com.etechd.l3mon.apk)، در صورت آلوده سازی تلفن هوشمند قربانی، قادر است به دفترچه تلفن، اتصالات اینترنتی، تماسهای دریافتی و گرفته شده، پیامک‌های ارسالی و دریافتی، میکروفون و امکان ضبط صدا، موقعیت مکانی، لیست برنامه‌های نصب شده، لیست دسترسی‌های فرعی، نظارت بر کلمه‌های تایپ شده به صورت زنده، لیست اعلان‌ها، لیست وای‌فای تلفن همراه راه برای بازیگران پشت پرده آن فراهم می‌کند.

این جاسوس‌افزار که نسخه‌ای از آن به دست صدای آمریکا رسیده، پیش از این نیز در اشکال دیگری تحت عنوان «تلگرام با اینترنت رایگان» توزیع شده بود.

شرکت‌های امنیتی متفاوتی، مانند «داکتر‌ وب» (Dr.Web) این جاسوس‌افزار را ازجمله بدافزارهای اندرویدی خانواده (Android.SmsSpy.853.origin) معرفی کرده و شرکت امنیتی «کسپروسکی» ارائه کننده آنتی‌ویروس (Kaspersky) آن را در دسته بندی تروجان‌های دستگاه‌های اندرویدی قرار داده است.

فایل نصبی جاسوس افزار (com.etechd.l3mon) در واقع یک محصول از (l3mon) است. این محصول یک تروجان مدیریت از راه دور دستگاه‌های اندرویدی که به صورت ابر محور (cloud based)، به زبان جاوا اسکریپت و با استفاده از محیط (NodeJS) طراحی شده و با مجوز نرم‌افزار متن باز در درسترس عموم است.

(l3mon) معمولا توسط مجرمان سایبری برای سرقت جزئیات کارت اعتباری، جزئیات کارت شناسایی، رمز عبور و سایر اطلاعات حساس استفاده شده و عموما از طریق ایمیل و یا پیوند‌های آلوده، پلتفرم‌های شخص ثالث و یا حتی گاهی از طریق جعل هویت برنامه‌های دیگر و یا پنهان شده پشت برنامه‌های موجود در فروشگاه (Goole Play) به دستگاه قربانی راه پیدا‌ می‌کند. اما در صورت دسترسی فیزیکی به تلفن همراه افراد، انتقال و نصب‌ دستی آن نیز امکان پذیر است.

این تروجان متن باز هم قابلیت نصب بر روی رایانه‌های شخصی را دارا است و هم قابلیت نصب بر روی سرورهای مجازی با کاربری ابری. عوامل پشت پرده بدافزار یافت شده در تلفن همراه معترضان ایرانی، (l3mon) را در روی یک سرور آلمانی فعال کرده و داده‌های قربانی را در محلی در خارج از خاک ایران دخیره سازی و مدیریت می‌کردند.

بهترین راه برای شناسایی آلودگی گوشی‌های اندرویدی به این جاسوس افزار، استفاده از آنتی ویروس‌های معتبر پشتبانی کننده تلفن‌های هوشمند است.

در صورت عدم دسترسی به چنین نرم‌افزار‌های امنیتی، از میزان مصرف بیش از حد باطری تلفن و یا بررسی دسترسی‌های داده شده به برنامه‌ها نیز وجود چنین بد‌افزاری را تا حد زیادی می‌توان تشخیص داد.

گزینه (Battery Usage) در بخش تنظیمات گوشی نشان دهنده میزان مصرف باطری توسط هر یک از برنامه‌های نصب شده روی تلفن همراه است. اگربرنامه‌ای درحال مصرف بیش از یک معمول انرژی ذخیره شده باطری باشد، احتمالا بدافزار (l3mon) پشت آن برنامه پنهان شده است و باید بلافاصله آن را از گوشی همراه حذف کرد.

از گزینه (Connections) در بخش تنظیمات گوشی نیز می‌توان میزان مصرف دیتای هربرنامه را مشاهده کرد. مصرف غیرمعمول یک برنامه از دیتای اینترنتی می‌تواند نشانگر آلودگی گوشی به (l3mon) باشد.

اگر با دو شیوه بالا امکان یافتن و یا غیرفعال کردن بدافزار حاصل نشد، بهترین کار قراردادن گوشی در وضعیت امن (Safe Mode) است. برای این‌کار باید دگمه خاموش تلفن را برای مدتی نگه‌داشت تا دستگاه خاموش و مجددا روشن شده و فهرست گزینه‌ها نمایان شود. از میان گزینه‌ها مورد وضعیت امن را انتخاب کرده و در راه‌اندازی مجدد، تلفن همراه در وضعیت امن قرار می‌گیرد.

در صورت عدم اطمینان به موارد بالا بهتر است تلفن همراه توسط یک متخصص معاینه فنی شده و یا نسخه کارخانه‌ای اندروید بازنشانی شود.