موبوگرام، صیغه‌یاب و دیگر بدافزارهای جاسوسی پوشفا در تلگرام را بشناسید

 انتشار بدافزار در شبکه‌های اجتماعی و کسب درآمد از راه‌های مختلف چند سالیست که در پلت‌فرم‌های ایرانی بسیار رواج پیدا کرده است. تلگرام به واسطه کاربران زیادی که در کشور دارد، یکی از برنامه‌هایی است که بیشتر از همه اینگونه بدافزارها را در خود جای داده است. یکی از قدیمی‌ترین این بدافزارها که 17 ماه گذشته به صورت گسترده در تلگرام برنامه‌های آلوده خود را منتشر کرده است و با تبلیغات در معرض دید عموم قرار داده است “پوشفا” است. مرکز ماهر به تازگی در خصوص این بدافزارها توضیحاتی ارائه داده است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای بررسی‌ای بر روی بدافزارهای پوشفا انجام داده است و در طی آن اعلام کرده است که چند میلیون دستگاه کاربران ایرانی به آن آلوده شده‌اند. این مرکز در توضیحات خود اعلام کرده که اول بدافزار این پوشفا اولین بار در مرداد سال 96 در تلگرام منتشر شد. در طول این مدت آمار دقیقی از میزان آلودگی به بدافزارهای آن در دسترس نبوده، اما از آنجاییکه این مجموعه فعالیت مستمری داشته‌اند و روزانه حداقل یک نسخه از بدافزار خود را در صدها کانال تلگرامی منتشر کرده‌اند، انتظار می‌رود چند میلیون دستگاه در ایران به این نرم‌افزارهای مخرب آلوده شده باشند. مرکز ماهر مدعی است که تا امروز بیش از 200 نمونه از بدافزارهای پوشفا را کشف کرده است. این مرکز همچنین گفته است:

از آنجا که بسیاری از بدافزارهای پوشفا، پس از نصب مخفی شده و یا آیکون خود را با آیکون برنامه‌ای مجاز و شناخته شده (مانند گوگل پلی، جی‌میل، گوگل کروم و گوگل مپ) جایگزین می‌کنند، درصد زیادی از کاربران قادر به شناسایی و حذف آنها نخواهند بود و بدافزار روی دستگاه باقی خواهد ماند. همچنین برخی از بدافزارها از کاربر درخواست مجوز مدیریتی می‌کنند، که در صورت موافقت کاربر، حذف بدافزار برای کاربران عادی به سادگی امکان پذیر نخواهد بود و احتمال آلوده ماندن دستگاه بیش از پیش خواهد شد.

بدافزارهایی با لباس‌های مبدل و گول‌زننده

پوشفا از تکنیک‌های متفاوتی برای نامگذاری بدافزارهای خود استفاده کرده است تا بتواند با کاربرانی با سلایق مختلف را به خود جذب کند. بخش بزرگی از بدافزارها “موبوگرام” نام دارند. نسخه غیررسمی تلگرام که به واسطه امکاناتش مدت زیادی مورد استفاده کاربران ایرانی بود، اما حالا سارقین اطلاعات با سوءاستفاده از نام این برنامه و ترغیب کاربران به نصب آنها، دستگاه‌های آنها را آلوده به بدافزار می‌کنند. نام‌های دیگری مانند “صیغه‌یاب” و فیلم‌های مستهجن قصد فریب دسته دیگری از کاربران را دارد و جالب اینجاست که حتی برنامه‌ای به نام “بازار” نیز در این میان وجود دارد که قصد سوءاستفاده از نام “کافه بازار” مارکت ایرانی را دارد.

هدف اصلی این بدافزارها کسب درآمد از راه تبلیغات است. در ابتدای فعالیت این بدافزار، فروش عضو به کانالهای تلگرامی و تبلیغات از این دست رواج زیادی داشت. به همین دلیل در نسل‌های اولیه این بدافزار، محور اصلی تبلیغات، تبلیغات تلگرامی بود. اما درحال حاضر، با رشد روزافزون سرویس های ارزش‌افزوده و تزریق بودجه تبلیغاتی از طرف این‌ شرکت‌ها، هدف اصلی بدافزارهای «پوشفا» نیز نمایش تبلیغات سرویس‌های‌ ارزش افزوده، دانلود خودکار و بدون اطلاع برنامه‌های دارای سرویس ارزش افزوده و در مواردی نیز دانلود بدافزارهای سرویس ارزش افزوده (عضویت در سرویس ارزش افزوده از طریق برنامه ای بدون محتوا) است.

در تصویر پایین می‌توانید لیست تعدادی از برنامه‌های آلوده این سرویس را مشاهده کنید. برای مطالعه گزارش کامل مرکز ماهر بر روی لینک کلیک کنید.