هشدار
چه کسانی از پروفایل ما بازدید می‌کنند؟!

شاید روزانه با انواع این پیام‌های تبلیغاتی و فریبنده روبرو شوید که شما را ترغیب می‌کنند برنامه های پولی یا رایگان را نصب کنید تا بتوانید کسانی را که مخفیانه از پروفایل و حساب کاربری شما بازدید می‌کنند را مشاهده کنید!

اما واقعیت است که نه تنها این پیام‌های تبلیغاتی و فریبنده کذب محض و دروغی بیش نیست بلکه خود این برنامه ها، جاسوس افزارها و بدافزارهایی هستند که تمامی اطلاعات شخصی در گوشی شما و همچنین حساب کاربری تان از جمله پسورد‌های شما را سرقت می‌کنند و همچنین از طرف شما پیام های تبلیغاتی مشابه و اسپم را بدون اجازه و اطلاع شما، به مخاطبین گوشی شما ارسال می کنند.

این نکته را فراموش نکنید که چنین برنامه‌های فقط برای سرقت و دریافت اطلاعات شخصی شما طراحی و ساخته شده اند و در هیچ یک از شبکه های اجتماعی چنین ادعایی درست و امکان پذیر نیست.

#هشدار #بدافزار #جاسوس_افزار #سرقت

@tavaanatech

در گزارشی که وب‌سایت hack read به تازگی منتشر کرده، به معرفی یک وی‌پی‌ان حاوی بدافزار پرداخته که با هدف گرفتن کاربران ایرانی، سعی در سرقت رمزارز دیجیتال از آن‌ها می‌کند.

هدف اصلی این بدافزار (OpcJacker Crypto)، کاربران بی‌اطلاع در ایران هستند که از طریق دانلود و نصب یک فایل حاوی بدافزار به نام Opcjacker فریب خورده‌اند.

کارشناسان امنیت سایبری Trend Microدر فوریه سال۲۰۲۳ این گروه بدافزاری جدیدی را کشف کردند که با توزیع بدافزار Opcjacker کاربران ایرانی را هدف قرار داده و هدف اصلی آن سرقت ارزهای دیجیتال کاربران ایرانی بوده است.

همچنین از سایر عملکردهای این بدافزار می‌توان به گرفتن اسکرین‌شات، سرقت داده‌های وارد شده از طریق صفحه کلید، بارگیری ماژول های جدید، سرقت داده‌های شخصی و حساس کاربران از مرورگرها و همچنین ربودن کیف‌ پول‌ ارزهای‌دیجیتال اشاره کرد.

استفاده از انواع وی‌پی‌ان‌های ناامن در حملات بدافزاری علیه کاربران ایرانی موضوع چندان عجیبی نیست. در اکتبر سال ۲۰۲۲ نیز هکرهای ایرانی در حال انتشار جاسوس‌افزارهای اندرویدی به نام "RatMilad" بودند که تحت عنوان یک اپلیکیشن وی‌پی‌ان پنهان شده بود.

#هشدار #بدافزار #هکر #کلاهبرداری #فیلترشکن #جاسوس_افزار #ارزدیجیتال #سرقت

@tavaanatech

چرا نباید از پیام‌رسان‌ها و اپ‌های داخلی استفاده کرد؟

سرورهای این اپلیکیشن‌ها در داخل است و نهادهای حکومتی دسترسی مستقیم به مکالمات شما دارند.
اپلیکیشن‌ها معمولا به بخش‌های مختلف گوشی شما دسترسی دارند.
چون برای ثبت‌نام نیاز به وارد کردن شماره تلفن است، شناسایی شما برای آنها آسان است.
همچنین به دلیل دسترسی و همگام‌سازی (Sync) لیست مخاطبین با اپ‌های داخلی، صاحبان این اپ‌ها می توانند به راحتی مکالمات و تماس‌های شما را شنود و رصد کنند.

#فیلترنت #داخلی #جاسوس_افزار #آموزشی

@tavaanatech

اگر شما از طریق تبلیغات به صفحه دانلود یک برنامه هدایت شدید، پیش از دانلود برنامه صحت و سلامت صفحه را بررسی کنید. برای اینکار نام ابزار را جست‌وجو کنید تا از این طریق دریابید که نسخه اصلی برنامه به شما نمایش داده شده یا یک نسخه جعلی. همچنین از سرویس‌های بررسی لینک هم می‌توان برای اطمینان از سالم بودن لینک‌های مشکوک استفاده کرد. سرویس ویروس توتال و نورتون از نمونه‌های معروف ابزارهای بررسی لینک‌اند.
(به نقل از ایندیپندنت فارسی)

#بدافزار #جاسوس_افزار #امنیت_دیجیتال

@tavaanatech

هشدار
جاسوس‌افزار بولدسپای BouldSpy که فراجا بر روی گوشی‌ بازداشت‌شدگان نصب کرده است

شرکت لوکات Lookout که در حوزه امنیت گوشی‌های موبایل فعال هست در یک گزارش به ابعاد جدیدی از برنامه جاسوسی فرماندهی انتظامی جمهوری اسلامی(فراجا) از شهروندان و اقلیت‌های داخل ایران توسط یک بدافزار اندرویدی به نام بولدسپای (BouldSpy) پرده برداشته است.

در گزارشی که این شرکت منتشر کرده، به معرفی بدافزار بولدسپای BouldSpy پرداخته که اغلب در گوشی افرادی که توسط فراجا بازداشت شده‌اند، کشف شده و از سال ۱۳۹۹ توسط این نهاد برای جاسوسی از شهروندان مورد استفاده قرار گرفته است.

جاسوس‌افزار، بولدسپای BouldSpy دستگاه گوشی بیش از ۳۰۰ نفر از جمله گروه‌هایی مانند کردهای ایرانی، بلوچ‌ها، آذری‌ها و همچنین گروه‌های مسیحی- ارمنی را آلوده کرده است.

با کشته شدن "مهسا امینی" و گسترش اعتراضات مردمی در سال ۱۴۰۱، جهش قابل توجهی در ترافیک سرورهای کنترل یا C&C این بدافزار مشاهده شده که به احتمال زیاد به دلیل نصب آن روی گوشی‌های افراد بازداشت شده توسط مامورین فراجا بوده است.

این بدافزار جاسوسی قابلیت‌های جاسوسی متعددی شامل موارد زیر را داراست:

۱- دسترسی به تمام نام‌های و شناسه‌های کاربری حساب در دستگاه و اکانت‌های مرتبط با آن‌ها (مانند گوگل، تلگرام، واتس‌اپ و ....)

۲- دسترسی به لیست تمام برنامه‌های نصب شده در دستگاه
۳- تاریخچه مرورگر و نشانک‌ها
۴- ضبط تماس زنده
۵- گزارش تماس
۶ - قابلیت عکس گرفتن از طریق دوربین گوشی
۷- دسترسی به لیست‌های تماس
۸- ذخیره اطلاعات دستگاه (آدرس آی‌پی، اطلاعات سیم کارت، اطلاعات وای‌فای، نسخه اندروید و شناسه دستگاه)
۸- دسترسی به لیست تمام فایل‌ها و پوشه‌های موجود در دستگاه
۱۰ ذخیره محتوای کلیپ بورد و صفحه کلید
۱۱- دسترسی به موقعیت مکانی از طریق GPS، شبکه یا ارائه دهنده تلفن همراه
۱۲- دسترسی به تمامی پیامک‌ها (اعم از: ارسال،دریافت و پیش‌نویس)
۱۳- ضبط صدا از طریق میکروفون گوشی
۱۴- امکان گرفتن اسکرین شات از صفحه گوشی

یکی دیگر از قابلیت‌های خطرناک جاسوس افزار بولدسپای BouldSpy این است که می‌تواند تماس‌های صوتی را از طریق چندین برنامه و همچنین برنامه استاندارد تلفن اندروید ضبط کند.

این تماس‌های صوتی از طریق این اپلیکیشن‌ها قابل ضبط است:

واتس‌اپ - بلک‌بری - ترکسل -بوتیم - لاین- تلگرام- اسکایپ-تانگو- وایبر -وی‌چت و ....


این جاسوس افزار خطرناک همچنین می‌تواند دستورات را از طریق پیامک و از تلفن کنترل کند که یک ویژگی نسبتا منحصر به فردی است که این نرم‌افزار جاسوسی را قادر می‌سازد تا قربانیان را حتی در مناطقی که آنتن‌دهی اینترنت بسیار ضعیف است، نظارت و شنود کند.

بیشترین میزان آلودگی و نصب این بدافزار در گوشی افرادی بوده که در نزدیکی ایستگاه‌های پلیس جمهوری اسلامی یا پاسگاه‌های گشت مرزی دستگیر شده‌اند، جایی که امکان بازداشت و دسترسی فیزیکی به دستگاه‌های تلفن همراه این افراد وجود دارد.

مامورین فراجا به دلیل دسترسی فیزیکی و نزدیکی که به دستگاه‌های بازداشت شدگان که احتمالاً در حین بازداشت داشته‌اند، برای نصب این جاسوس‌افزار سوء‌استفاده کرده‌اند.
شرکت لوکات(Lookout)، مقدار زیادی از داده‌های استخراج‌شده که شامل عکس‌ها و ارتباطات دستگاه مانند اسکرین‌شات از مکالمات، ضبط تماس‌های ویدیویی و همچنین گزارش‌های پیامکی بود، به‌دست آمده را منتشر کرده است.

در صورت آلوده شدن دستگاهی به این بدافزارها و جاسوس افزارها، یکی از شیوه‌ها ریست فکتوری یا برگرداندن دستگاه به تنظیمات کارخانه است. سپس با استفاده از یک آنتی ویروس قوی و بروزرسانی شده(تاکید مهم)، دستگاه اسکن شود. اما امن‌ترین و مطمئن ترین راه، عدم استفاده از گوشی‌هایی است که در هنگام بازداشت یا دستگیری، مدتی در اختیار نهادهای امنیتی و اطلاعاتی بوده‌اند.

#جاسوس_افزار #بدافزار #هشدار #بولدسپای #لوکات #پیامک #شنود #جاسوسی

@tavaanatech

نصب جاسوس‌افزار بولدسپای بر دستگاه بازداشت‌شدگان توسط فراجا

به گزارش شرکت لوکات Lookout، فراجا جاسوس‌افزار بولدسپای BouldSpy را بر گوشی‌ بازداشت‌شدگان نصب کرده است.
شرکت لوکات، که در حوزه امنیت گوشی‌های موبایل فعال است، در گزارشی از جاسوسی فرماندهی انتظامی جمهوری اسلامی از شهروندان و اقلیت‌های داخل ایران، توسط بدافزار اندرویدی بولدسپای پرده برداشته است.

در این گزارش اشاره شده است که بدافزار بولدسپای از سال ۱۳۹۹ توسط فراجا برای جاسوسی از شهروندان مورد استفاده قرار گرفته است.
بر اساس این گزارش، جاسوس‌افزار بولدسپای، بر دستگاه گوشی بیش از ۳۰۰ نفر از بازداشتی‌های کرد، بلوچ‌، آذری‌ و گروه‌های مسیحی-ارمنی نصب شده است.
با کشته‌شدن «مهسا امینی» و گسترش اعتراضات مردمی در سال ۱۴۰۱، جهش قابل توجهی در ترافیک سرورهای کنترل یا C&C این بدافزار مشاهده شده، که به احتمال زیاد به دلیل نصب آن روی گوشی‌های افراد بازداشت‌شده توسط مامورین فراجا بوده است.

بدافزار جاسوسی بولدسپای قابلیت‌های جاسوسی متعددی دارد:

۱- دسترسی به نام‌ها و شناسه‌های کاربری در دستگاه و اکانت‌های مرتبط با آن‌ها؛ مانند گوگل، تلگرام، واتس‌اپ ...
۲- دسترسی به لیست تمام برنامه‌های نصب‌شده در دستگاه
۳- دسترسی به تاریخچه مرورگر و نشانک‌ها
۴- ضبط تماس‌ها
۵- گزارش تماس‌ها
۶- دسترسی به لیست‌ تماس‌ها
۷- قابلیت عکس‌گرفتن از طریق دوربین گوشی
۸- ذخیره اطلاعات دستگاه (آدرس آی‌پی، اطلاعات سیم‌کارت، اطلاعات وای‌فای، نسخه اندروید و شناسه دستگاه)
۹- دسترسی به لیست تمام فایل‌ها و پوشه‌های موجود در دستگاه
۱۰- ذخیره محتوای کلیپ‌بورد و صفحه‌کلید
۱۱- دسترسی به موقعیت مکانی از طریق GPS، یا شبکه ارائه‌دهنده تلفن همراه
۱۲- دسترسی به تمامی پیامک‌ها؛ اعم از ارسال‌شده، دریافت‌شده و حتی پیش‌نویس
۱۳- ضبط صدا از طریق میکروفون گوشی
۱۴- امکان گرفتن اسکرین‌شات از صفحه گوشی

ادامه مطلب:

https://tech.tavaana.org/fa/news/BouldSpy_IR

#جاسوس_افزار #بدافزار #هشدار #بولدسپای #لوکات #پیامک #شنود #جاسوسی

@tavaanatech

چرا نباید از اپلیکیشن‌های داخلی استفاده کنیم؟

اپلیکیشن‌های داخلی به طور کلی اپلیکیشن‌های امنی نیستند و استفاده از آن‌ها به هیچ وجه توصیه نمی‌شود. در روزهای اعتراضات مردمی این موضوع اهمیت بیش‌تری پیدا می‌کند، به‌ این دلیل که در جریان اعتراضات و خیزش‌های سراسری در ایران، حکومت می‌تواند از آن برای به‌دست‌آوردن اطلاعات کاربران، مخصوصا معترضان و فعالان، استفاده کند.

در این مقاله به این می‌پردازیم که چرا نباید از اپلیکیشن‌های داخلی - مخصوصا در روزهای اعتراضات - استفاده کرد؟

اپلکیشن‌های داخلی بدون شک اطلاعاتی از شما برای ارائه خدمات جمع‌‌آوری می‌کنند و در سرورهای خود - که سرورهای داخلی در ایران هستند - ذخیره می‌کنند. بنابراین توسعه‌دهندگان این اپ‌ها از این طریق به‌راحتی به اطلاعات شخصی و مهم کاربرانی که از این اپلیکیشن‌ها استفاده می‌کنند، دسترسی دارند. همچنین اگر نیازی باشد، با پردازش اطلاعات موجود، می‌توانند به اطلاعات مهم و حساس بیش‌تری برسند.

از طرف دیگر، این ابزارها برای ارائه خدمات، اجازه دسترسی به بخش‌های مختلف دستگاه شما را می‌خواهند، که می‌توان به لیست مخاطبان، موقعیت مکانی، و گالری شما اشاره کرد. لازم به توضیح است که کاربران قطعا به توسعه‌دهندگان این ابزار‌ها دسترسی‌های لازم را می‌دهند زیرا در غیر این صورت قادر به استفاده از آن نخواهند بود. برای مثال شما برای استفاده از خدمات «اسنپ» باید حتما به آن اجازه دسترسی به مثلا موقعیت مکانی خود بدهید، اگر نه، نمی‌توانید با آن کار کنید.

نکته قابل توجه این است که این اپلیکیشن‌ها حتی زمانی که بسته هستند و استفاده نمی‌شوند هم می‌توانند در پس زمینه جاسوسی کنند.

بنابراین توصیه ما حذف اپلیکیشن‌های داخلی است. به‌ویژه اگر از معترضان و فعالان هستید، اپلیکیشن‌های داخلی را به طور کامل از دستگاه خود پاک کنید. برای نمونه می‌توان از اسنپ، اسنپ‌فود و اپ‌های مشابه نام برد.

لینک مطلب در سایت تواناتک:

https://tech.tavaana.org/fa/news/irmalwareapp

#فیلترنت #داخلی #جاسوس_افزار

@tavaanatech

جاسوسی از کاربران توسط برنامه ضبط نمایشگر در گوگل‌پلی

"لوکاش استفانکو" یکی از محققان شرکت امنیتی ESET در پست وب‌سایت این شرکت اعلام کرد که اپلیکیشن iRecorder Screen Recorder که از ۱۹ سپتامبر سال ۲۰۲۱ در گوگل پلی منتشر شده و بیش از ۵۰۰۰۰ دانلود داشته است، پس از یازده ماه از انتشار، در آپدیت جدید خود از بدافزاری استفاده کرده است که می‌تواند به‌طور مخفیانه هر ۱۵ دقیقه صدا را ضبط کرده و آن را به یک سرور خارجی توسعه‌دهنده ارسال کند.

این اپلیکیشن برای جاسوسی از کد AhMyth بهره برده است که یک تروجان دسترسی از راه دور منبع باز است و قبلاً نیز از آن در برنامه‌های دیگری در گوگل پلی استفاده شده است.

"لوکاش استفانکو" در گزارش خود نوشته است که به ندرت پیش می‌آید که یک توسعه دهنده اپلیکیشنی را آپلود کند و تقریباً یک سال صبر کند و سپس آن را با کدهای مخرب بروزرسانی کند.

علاوه بر حذف اپلیکیشن iRecorder Screen Recorder تمامی برنامه‌های دیگر توسعه دهنده این بدافزار ( Coffeeholic Dev) از گوگل‌پلی حذف شده است و هیچ یک از آنها در زمان نوشتن این مطلب قابل دسترسی نیستند، تعدادی از این برنامه‌های حذف شده عبارتند از :

iBlock
iCleaner
iEmail
iLock
iVideoDownload
iVPN
File speaker
QR Saver
Tin nóng tin lạnh

گزارش این محقق امنیتی حاکی از این است که یک اپلیکیشن عادی می‌تواند پس از ماه‌ها به یک برنامه مخرب تبدیل شود و از کاربرانش جاسوسی کند و حریم خصوصی آنها را به خطر بیندازد. همچنین در نظر داشته باشید که وجود یک اپلیکیشن در گوگل‌پلی دلیل صد در صد امن بودن آن نیست.

#بدافزار #جاسوس_افزار #گوگل_پلی #هشدار

@tavaanatech

محققان شرکت امنیتی Dr.Web در چند اپلیکیشن اندرویدی ازجمله (Zapya) بدافزار جدیدی کشف کرده‌اند که به‌عنوان یک SDK (کیت توسعه نرم‌افزار) تبلیغاتی انتشار یافته است. این اپلیکیشن‌ها در مجموع ۴۲۱میلیون بار از گوگل‌پلی دانلود شده‌اند.

این بدافزار با نام SpinOk می‌تواند داده‌های خصوصی ذخیره‌شده کاربران را سرقت و آن‌ها را به یک سرور خارجی ارسال کند، SpinOk از نظر عملکرد کاملاً قانونی به‌نظر می‌رسد و از مینی‌گیم‌هایی استفاده می‌کند که در آن‌ها برای برانگیختن علاقه کاربران از جوایز روزانه استفاده می‌شود.

درحالی‌که مینی‌گیم‌ها به صورت عادی اجرا می‌شود، محققان شرکت امنیتی Dr.Web می‌گویند که در پس‌زمینه، این کیت توسعه نرم‌افزار(SDK) می‌تواند عملکردهای مخربی از جمله فهرست‌کردن فایل‌ها، جستجو برخی فایل‌های خاص، آپلود فایل‌ها از دستگاه یا کپی و جایگزینی محتوای کلیپ‌بورد را انجام دهد.

این بدافزار داده‌های سنسورهای دستگاه اندروید (ژیروسکوپ، مغناطیس‌سنج) را بررسی می‌کند تا اطمینان حاصل کند که در یک محیطی که معمولاً محققان برنامه‌های بالقوه مخرب اندروید را در آن تجزیه‌و‌تحلیل می‌کنند(Sandbox) اجرا نمی‌شوند سپس به یک سرور خارجی متصل می‌شود تا لیستی از URLهای بازشده برای نمایش مینی‌گیم‌ها را دانلود کند.

تمامی برنامه‌هایی که دارای این بدافزار هستند، به‌جز Zapya، از گوگل پلی حذف شده‌اند. اسامی تعدادی از برنامه‌های دارای این بدافزار عبارتند از:

Noizz
Zapya
VFly
MVBit
Bank Bingo Slot
Bingo-J
Jelly Connect
Mega Win Slots
Lucky Clover Bingo
Jackpot King - Coin Pusher
Owl Pop Mania
Daily Step
Get Rich Scanner
Star Quiz
Lucky Jackpot Pusher
Pic Pro - AI Photo Enhancer
PlayBox: Rewarded Play

لیست کامل این اپلیکیشن‌های مخرب از طریق این لینک قابل دسترس است:

https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Spy.SpinOk/README.adoc

محققان امنیتی به کاربران اندروید توصیه می‌کنند اگر اپلیکیشنی در گوگل‌پلی در دسترس نیست و یا حذف شده است، فوراً آن‌ها را حذف کنید و دستگاه خود را با یک ابزار آنتی‌ویروس موبایل اسکن کنید تا مطمئن شوید که باقی‌مانده‌های جاسوس‌افزار پاک شده است.همچنین در نظر داشته باشید که وجود یک اپلیکیشن در گوگل‌پلی دلیل صد در صد امن بودن آن نیست.

گزارش BleepingComputer:

https://www.bleepingcomputer.com/news/security/android-apps-with-spyware-installed-421-million-times-from-google-play/

#بدافزار #جاسوس_افزار #گوگل_پلی #هشدار


@tavaanatech

هشدار

ادعا:
مگه حالا ما چه اطلاعات به دردبخور و مهمی داریم که بخوان از گوشی ما بدزدن؟ اطلاعات گوشی من به چه درد هکر یا نهادهای امنیتی‌ها میخوره؟

پاسخ:

به زبان ساده، وقتی از یک ابزار یا وی‌پی‌ان ناامن یا برنامه مشکوکی استفاده می‌کنید، اطلاعاتی که این برنامه‌های مشکوک و خطرناک از شما جمع آوری می‌کنند، در نهایت گاهی علیه خود شما استفاده می‌شود.

به عنوان مثال، دریافت انواع لینک‌های فیشینگ و آلوده توسط ایمیل یا انواع پیام‌های تبلیغاتی یا فریبنده که دریافت می‌کنید در حقیقت بخشی از این اطلاعات را کاربر با سهل‌انگاری و بدون اینکه اطلاع داشته باشد در اختیار سازندگان این بدافزارها و برنامه‌های مشکوک و ناامن قرار داده که در نتیجه برای سوءاستفاده و کلاهبرداری از او استفاده می‌شود.

#هشدار #مهم #فیشینگ #کلاهبرداری #آلوده #جاسوس_افزار #بدافزار

@beshkan