بات‌نت جدیدی که شبیه‌سازی‌شده به اپلیکیشن‌های پیام‌رسان (Signal و ToTok) کاربران اندروید را هدف قرار می‌دهد و امکان سرقت گسترده اطلاعات را فراهم می‌کند. این کمپین با توزیع APKهای تروجان‌زده از طریق صفحات فیشینگ و فروشگاه‌های جعلی، کاربران را به نصب برنامه‌هایی که درخواست مجوزهای گسترده می‌کنند ترغیب می‌کند؛ پس از نصب، بدافزار به‌صورت مخفیانه اطلاعات حساس (مخاطبین، پیام‌ها، فایل‌ها، پشتیبان‌های چت و غیره) را جمع‌آوری و به سرورهای کنترل ارسال می‌کند. 

جزئیات حمله / اهداف و بردارها

• بردار توزیع: صفحه‌های فیشینگ و فروشگاه‌های اپ جعلی که کاربران را به «سایدلود» (نصب دستی APK) از منابع ناشناس تشویق می‌کنند؛ این کمپین از دامنه‌ها و صفحات جعلی (مثلاً دامنه‌هایی که ادعای «Encryption Plugin» برای Signal دارند یا صفحات شبیه Galaxy Store) برای فریب کاربران استفاده می‌کند. 

• خانواده‌های شناخته‌شده: این حملات حول دو خانوادهٔ اصلی جاسوس‌افزار می‌چرخد: AndroidSpy.ProSpy (که به‌عنوان افزونهٔ «Signal Encryption Plugin» جعل می‌شود) و AndroidSpy.ToSpy (که خود را به‌صورت اپ ToTok جا می‌زند). هر دو به‌صورت دستی نصب می‌شوند و از تنظیمات «منابع ناشناس» سو استفاده می‌کنند.

• مجوزها و داده‌های مورد هدف: پس از نصب، بدافزارها دسترسی به مخاطبین، پیامک‌ها، فضای ذخیره‌سازی، اطلاعات دستگاه و حتی فایل‌های پشتیبان چت (مثل .ttkmbackup) را درخواست و جمع‌آوری می‌کنند. 

توضیح فنی (چطور کار می‌کند)

• اپ‌ها با نمایش صفحهٔ معرفی قانع‌کننده، ثبت سرویس foreground برای پایداری و تغییر آیکون/نام (مثلاً به «Play Services») خود را پنهان می‌کنند؛ برای بقای فرایندها از AlarmManager و BOOT_COMPLETED استفاده می‌کنند تا پس از بسته شدن یا ریبوت دوباره اجرا شوند.

• داده‌های جمع‌آوری‌شده با الگوریتم AES-CBC رمزنگاری می‌شوند — تحلیل‌های مهندسی معکوس نمونه‌ها یک کلید سخت‌کدشده (مثلاً p2j8w9savbny75xg) را نشان داده‌اند — و سپس از طریق HTTPS POST به سرورهای فرمان‌وکنترل ارسال می‌گردند. 

• تکنیک‌های اجتماعی‌سازی (لینک‌های ارسالی در پیام‌رسان‌ها، پست‌های جعل‌شده در شبکه‌های اجتماعی) باعث می‌شود قربانیان با احتمال بیشتری روی لینک‌ها کلیک و APKها را نصب کنند؛ این حملات معمولاً منطقه‌ای (مثلاً امارات متحدهٔ عربی) هدف‌گیری شده‌اند. 

وضعیت فعلی تهدید

• کمپین اخیراً افزایش یافته و محققان نمونه‌هایی از دامنه‌ها و صفحات توزیع را شناسایی کرده‌اند؛ گزارش‌ها نشان می‌دهد حملات همچنان فعال‌اند و به‌ویژه کاربران حساس به حریم خصوصی که از Signal یا ToTok استفاده می‌کنند در معرض خطر هستند.

• حمله مبتنی بر سایدلود و درخواست مجوزهای زیاد باعث می‌شود که کاربرِ ناآگاه تنها نقطهٔ شکست باشد؛ بنابراین حتی بدون بهره‌مندی از exploit پیچیده، موفقیت این کمپین بالا ارزیابی می‌شود. 

چگونه از خود محافظت کنیم؟ (اقدامات فوری)

1. هرگز APK را از منابع ناشناس نصب نکنید — فقط از Google Play یا فروشگاه رسمی سازنده استفاده کنید.

2. گزینهٔ نصب از منابع ناشناس را غیرفعال نگه دارید و در صورتی که نیاز موقت به سایدلود دارید، بلافاصله پس از آن غیرفعال کنید.

3. به درخواست‌های مجوز دقت کنید — اگر اپی مجوزهای غیرمرتبط یا گسترده درخواست کرد (دسترسی به SMS، مخاطبین، فایل‌ها) نصب را لغو کنید.

4. Play Protect را فعال نگه دارید و از راهکارهای امنیتی موبایل معتبر استفاده کنید.

5. پشتیبان‌گیری امن و رمزگذاری‌شده از اطلاعات مهم داشته باشید و پشتیبان‌ها را در صورت شک به آلودگی بررسی کنید.

6. هشیاری در برابر لینک‌های مشکوک: لینک‌های دریافتی در پیام‌ها یا شبکه‌های اجتماعی را بدون بررسی باز نکنید و از آدرس دقیق دامنه‌ها اطمینان حاصل کنید. 

چرا این تهدید مهم است؟

این کمپین نشان می‌دهد که بازیگران تهدید می‌توانند با مهندسی اجتماعی و جعل اپ‌های محبوب، حتی کاربران مراقب را فریب دهند و به حجم بزرگی از داده‌های حساس دسترسی پیدا کنند. پایداری در پس‌زمینه، مخفی‌سازی با نام/آیکون جعلی و استفاده از کلیدهای سخت‌کدشده برای رمزنگاری داده‌ها، ریسک نشت گسترده اطلاعات و سوء‌استفاده را افزایش می‌دهد. لذا خودداری از سایدلود و دقت در مجوزها اصلی‌ترین خط دفاعی است.