آلوده کردن دستگاه‌های اندرویدی و ویندوز به‌وسیله بازی‌های مخرب بزرگسالان برای جاسوسی

کمپین بدافزاری مایک‌اسپای «Maikspy» که به‌تازگی توسط محققان امنیتی شناسایی شده است، اطلاعات شخصی حساس کاربران را هدف قرار می‌دهد و امکان سرقت این اطلاعات را برای مهاجمان فراهم می‌سازد. بدافزار مایک‌اسپای که به‌وسیله بازی‌های مخرب مخصوص بزرگسالان منتشر می‌شود، دستگاه‌های اندروید و ویندوز را آلوده می‌کند.

به نظر می‌رسد توسعه دهنده‌های مایک‌اسپای طرفدار میا خلیفه، ستاره پورن مشهور هستند!

براساس گزارشی که در وبلاگ ترندمیکرو منتشر شده است، مایک‌اسپای یک بدافزار جاسوسی چند پلتفرمی بوده که براساس عنوان یک بازیگر مشهور فیلم پورن نام‌گذاری شده و از سال ۲۰۱۶ فعال است. پژوهش‌های ترندمیکرو نشان می‌دهد که وب‌سایت hxxp://miakhalifagame[.]com از منابع اصلی انتشار این بدافزار جاسوسی بوده که سابقا نیز اقدام به توزیع بدافزار کرده است.

این بدافزار کاربران را به سرور کنترل و فرمان «C&C» وصل کرده و داده‌های آن‌ها را از دستگاه‌های آلوده به سرورهای مهاجمان ارسال می‌کند.

مایک‌اسپای در اندروید

به گفته ترندمیکرو، مهاجمان از چندین حساب‌کاربری توییتری برای انتشار لینک‌های کوتاه مربوط به این بدافزار استفاده کرده و اقدام به انتشار و تبلیغ آن می‌کردند. لینک‌های کوتاهی که تحت عنوان بازی دوست‌دختر مجازی منتشر می‌شدند و در ظاهر بی‌ضرر به نظر می‌رسیدند. ترندمیکرو این بازی مخرب را  AndroidOS_MaikSpy.HRX نام‌گذاری کرده است.

طبق بررسی‌های ترندمیکرو به محض اینکه کاربران فریب‌خورده روی لینک‌های کوتاه کلیک می‌کنند، صفحه‌ای به آنها نمایش داده می‌شود که از آن‌ها می‌خواهد جنسیت خودشان را مشخص کنند. سپس یک صفحه دیگر ظاهر می‌شود که از کاربر می‌خواهد «اولین دوست دختر» خود را انتخاب کند و پس از آن یک صفحه دانلود نمایش داده می‌شود.

پس از دانلود و اجرای این بازی جعلی، هنگامی که دستگاه آلوده می‌شود خطایی با عنوان «خطا: ۴۰۱، برنامه سازگار نیست. در حال حذف...» به کاربر نشان داده می‌شود. البته این یک پیام جعلی است که تنها برای این به نمایش گذاشته می‌شود که کاربر تصور کند برنامه از دستگاه حذف خواهد شد، که می‌دانیم چنین اتفاقی نمیافتد. در واقع، برنامه همچنان به‌صورت مخفیانه در پس‌زمینه دستگاه اندرویدی آلوده، به جاسوسی ادامه می‌دهد.

برنامه مجوزهای دسترسی را حفظ می‌کند و اطلاعات حساس کاربر از جمله شماره تلفن، حساب‌ها، اطلاعات برنامه‌های نصب شده، اطلاعات SMS و لیست مخاطبین را دریافت می‌کند. این اطلاعات به سرور کنترل و فرمان مهاجمان ارسال می‌شود.

مایک‌اسپای در ویندوز

ترندمیکرو می‌گوید مهاجمان از همان حساب‌های کاربری توییتری برای توزیع نوع ویندوزی بدافزارهای جاسوسی مایک‌اسپای استفاده کرده‌اند. کاربران به وب‌سایت hxxp://miakhalifagame[.]com هدایت می‌شوند. هنگامی که این لینک باز می‌شود، از کاربر خواسته می‌شود که فایل «MiaKhalifa.rar» دانلود کنند.

این فایل فشرده حاوی یک فایل README.txt است که در آن در مورد چگونگی خاموش کردن نرم‌افزارهای ضدویروس و نحوه فعال کردن شبکه توضیح داده شده است. این اطلاعات توسط مهاجمان برای دزدی اطلاعات مورد نیاز است.

یکی دیگر از فایل‌های موجود در فایل فشرده دانلود شده توسط کاربر، فایل Uninstall.exe است که یک مدل از ابزار هکری منبع باز به نام Mimikatz است که می‌تواند رمزهای عبور ساده، پین‌کدها، تیکت هش و Kerberos را از حافظه استخراج کند. البته مایک‌اسپای، این فایل برای به دست آوردن حساب کاربری و رمز عبور دستگاه ویندوز استفاده می‌شود و نتیجه آن در C:\Users\%username%\AppData\local\password.txt ذخیره می‌شود.

فایل Setup.exe موجود در فایل فشرده «MiaKhalifa.rar» نیز سرقت اصلی را انجام می‌دهد و می‌تواند فایل‌هایی با پسوندهای «.jpg, .jpeg, .png, .txt, .wav, .html, .doc, .docx و .rtf» را به مهاجمان ارسال کند. این فایل برای دستیابی به اطلاعات مورد نیاز پوشه‌های زیر را اسکن می‌کند:

C:/Users/%username%/Desktop
C:/Users/%username%/Pictures
C:/Users/%username%/Documents
C:/Users/%username%/Downloads

افزونه کروم مایک‌اسپای

محققان ترندمیکرو همچنین یک افزونه کروم با نام VirtualGirlfriend.crx را شناسایی کرده‌اند که کاربران ویندوز به هنگام بازدید از hxxps://miakhalifagame[.]com در معرض خطر قرار می‌دهد. این افزونه مخرب در پس‌زمینه شروع به جمع آوری اطلاعات کاربری، مانند نام کاربری و رمز عبور از صفحات وب می‌کند.

- Maikspy Spyware Poses as Adult Game, Targets Windows and Android Users