از آنجایی که نرمافزارهای جاسوسی در پنهان شدن خوب عمل میکنند، حذف آنها به آسانی حذف یک برنامه معمولی نیست
در چند سال اخیر، حکومت ایران برای کنترل شهروندان و زیر نظر گرفتن معترضان روشهای مختلفی را به کار گرفته است. جدیدترین مورد شناساییشده، جاسوسافزاری است که فرماندهی انتظامی جمهوری اسلامی ایران آن را روی گوشی دستگیرشدگان نصب کرده است.
محققان موسسه امنیتی لوکاوت (Lookout) در تحقیقات خود یک ابزار نظارتی اندروید را کشف کردهاند که از طرف فراجا توسعه داده شده است. این ابزار که «بولداسپای» (BouldSpy) نام گذاری شده، از مارس ۲۰۲۰ ردیابی شده بود، اما بیشترین فعالیتهای آن در اوج اعتراضهای سراسری مردم ایران پس از قتل مهسا امینی رخ داده و از سال ۲۰۲۳ توجه محققان امنیتی را به خود جلب کرده است. محققان این ابزار نظارتی را در رده باتنت و باجافزار قرار دارند. اما نکته جالب آن است که با وجود تعبیه شدن کد باجافزاری، محققان دریافتند که تاکنون از این قابلیت استفاده نشده و کارکرد خاصی ندارد. به گفته محققان لوکاوت، این میتواند نشاندهنده توسعه مداوم ابزار یا تلاش برای گمراه کردن باشد.
ابزار جاسوسی فراجا چگونه کار میکند؟
بر اساس تجزیه و تحلیل دادههای استخراجشده، بیش از ۳۰۰ نفر از جمله گروههای اقلیتی مانند کردها، بلوچها، آذریها و گروههای مسیحی ارمنی قربانی شدهاند. از آنجایی که در اغلب موارد، اولین مکانهای ثبتشده از قربانیان در نزدیکی ایستگاههای پلیس استانی، ایستگاههای پلیس سایبری ایران، تاسیسات فرماندهی انتظامی و پستهای کنترل مرزی بوده، این نظریه مطرح شده است که دستگاه قربانی پس از دستگیری مصادره و سپس به طور فیزیکی به جاسوسافزار آلوده شده است.
در این تحقیقات، دادههایی شامل تصاویر و ارتباطات دستگاه، مانند اسکرینشات از مکالمات، تماسهای ویدیویی ضبطشده و همچنین گزارشهای پیامک استخراج و بررسی شدند. تجزیه و تحلیلها نشان میدهد که بخش اعظم قربانیان این بدافزار از گروههای اقلیت در داخل ایران بودند و عکسهایی هم از مواد مخدر، سلاحهای گرم و اسناد رسمی فراجا به دست آمده که نشاندهنده استفاده احتمالی از این بدافزار برای کشف جرایم و اجرای قانون بوده است. اما بیشتر فعالیتهای این بدافزار در اوج اعتراضها پس از قتل مهسا امینی بوده که نشاندهنده استفاده حکومت ایران از این بدافزار برای رصد کردن مخالفان است.
محققان لوکاوت اظهار داشتند که بولداسپای یک بدافزار جدید است که بنابر تعداد نه چندان زیاد نمونههای کشفشده و همچنین ضعف در امنیت عملیاتی مثل رمزنگاری نکردن ترافیک سرورهای کنترل و ناتوانی در پنهان کردن یا حذف نشانههای نفوذی هرگز از طریق فروشگاه گوگلپلی توزیع نشده است.
فراجا ویژگیهایی برای سادگی کار اپراتورها در صفحه کنترل جاسوسافزار تعبیه کرده تا افسران پلیس یا سایر کارکنان با مهارتهای فنی پایین هم بتوانند به راحتی نمونههای بدافزار جدیدی تولید کنند. این جاسوسافزار در قالب چندین برنامه مختلف از جمله اپلیکیشن تبدیل ارز، ماشینحساب، تماس تلفنی جعلی در گوشی قربانیان نصب شده است. این امکان وجود دارد که قربانیان نسخههای اصلی برنامههای ذکرشده را از قبل در دستگاههایشان داشتهاند و فراجا برای مشکوک نشدن قربانیان به نصب یک برنامه جدید، برنامههای نسخه اصلی را آلوده به تروجان کرده است.
جاسوسافزار فراجا به همه حسابهای کاربری در دستگاه (واتساپ، تلگرام و غیره)، فهرست برنامههای نصبشده، تاریخچه مرورگر، ضبط تماس، ثبت گزارش تماسها، ثبت عکس، لیست دفترچه تلفن، لیست تمام فایلها و پوشههای موجود در دستگاه، موقعیت مکانی و ضبط صدا دسترسی دارد. همچنین این جاسوسافزار میتواند مکالمههای صوتی در پیامرسانها را ضبط کند. در زمان بررسی موسسه لوکاوت، در سروهای این جاسوسافزار ۲ هزار و ۵۰۰ تصویر، ۴۰۰ هزار پیامک و ۳ هزار فایل دانلودشده، کشف شد. اما به احتمال زیاد، دادههای بیشتری از قربانیان جمعآوری شده است، زیرا دادهها به طور مداوم از سرورهای کنترل حذف میشوند.
بیشتر اقدامهای نظارتی بولداسپای در پسزمینه و با بهره بردن از سرویسهای دسترسی اندروید انجام میشود. همچنین، این ابزار پردازشگر را فعال نگه میدارد و ویژگیهای مدیریت باتری را برای جلوگیری از خاموش کردن فعالیتهای جاسوسافزار کنترل میکند. به همین دلیل، تخلیه سریع باتری از نشانههای این جاسوسافزار است. مورد جالب دیگر این بدافزار این است که میتواند دستورات را از طریق پیامک از تلفن قربانی ارسال کند که این یک ویژگی نسبتا منحصربهفرد است. این قابلیت، نرمافزار جاسوسی را قادر میسازد تا قربانیان را حتی در مناطقی که دسترسی به اینترنت ندارند، اما به شبکه تلفن متصلاند، رصد کند.
آشنایی با نشانههای جاسوسافزارها و روشهای حذف آنها
تشخیص جاسوسافزارها چندان ساده نیست، حتی ابزارهای امنیتی هم گاهی قادر به شناسایی جاسوسافزارها نیستند. اما بروز برخی علائم در دستگاه نشانهای از وجود جاسوسافزار است.
کندی بیدلیل دستگاه، نمایش غیرمنتظره پیامهای تبلیغاتی، انتقال ناخواسته به موتورهای جستوجو و صفحات ناشناخته، تخلیه سریع باتری، مشکل در ورود به سایتهای امن مثل صفحات پرداخت بانکی، افزایش غیرقابل توضیح حجم مصرفی اینترنت، از کار افتادن آنتیویروس و سایر نرمافزارهای امنیتی نشانههای وجود جاسوسافزار است.
از آنجایی که نرمافزارهای جاسوسی در پنهان شدن خوب عمل میکنند، حذف آنها به آسانی حذف یک برنامه معمولی نیست. حتی برخی از جاسوسافزارها دارای نوعی «قابلیت رستاخیز»ند، به این معنی که وقتی میخواهید جاسوسافزار را پاک کنید، اگر دستگاه شما به اینترنت متصل باشد، دوباره بعد از حذف به صورت خودکار دانلود میشود. علیرغم این واقعیت که حذف نرمافزارهای جاسوسی میتواند دشوار باشد، چندین روش مختلف برای حذف وجود دارد.
در اولین اقدام لازم است که دستگاه با یک برنامه امنیتی و ضدویروس بررسی شود. همچنین بسیاری از نرمافزارهای جاسوسی برای اینکه بتوانند فعالیت کنند، نیاز به روت یا جیلبریک شدن گوشیها دارند. «آنروت» (Unroot) کردن گوشی میتواند جاسوسافزار را از کار بیندازد.
شناسایی و حذف برخی جاسوسافزار در گوشیهای اندرویدی در حالت ایمن (safe mode) یا حالت هواپیما ممکن است. در این حالت، اجرای جاسوسافزار و ارتباط آن با شبکههایی که سعی میکنند به صورت خودکار جاسوسافزار را دوباره نصب کنند، قطع میشود. با نگه داشتن دکمه خاموش/روشن برای چند ثانیه فهرستی ظاهر میشود که به شما امکان دسترسی به حالت امن را میدهد.
گاهی تنها چاره بازگرداندن دستگاه به حالت کارخانه است و تنها در این صورت جاسوسافزار پاک میشود. اما برخی جاسوسافزارهای پیشرفته از بازنشانی کارخانهای هم جان سالم به در میبرند. در این مواقع، باید دستگاه را روزانه راهاندازی مجدد (Reboot) کرد تا از ماندگاری آن جلوگیری شود. اکثر آلودگیهای مبتنی بر اکسپلویتهای روز صفر دوام کمی دارند و راهاندازی مجدد میتواند فعالیت مهاجمان را مختل کند.
باید توجه داشت که در بدافزارهای پیشرفته ممکن است هیچکدام از راهکارهای ذکرشده کارآمد نباشد و در این صورت تنها راه دور انداختن دستگاه است. در این حالت، باید رمز عبور تمام حسابها تغییر یابد و برای قطع دسترسی مهاجم به حسابهای کاربری، قابلیت احراز هویت دومرحلهای از طریق اپلیکیشنهای احراز هویت فعال شود.