جاسوسی و نصب برنامه‌های ناخواسته

بدافزاری که حتا برنامه‌های سالم را نیز تهدید می‌کند!

پژوهش‌گران شرکت ترندمیکرو در وبلاگ هوش امنیتی این شرکت گزارش کرده‌اند که به تازگی موفق به شناسایی نسخه جدیدی از بدافزار دستگاه‌های همراه Godless شده‌اند. نسخه جدید نه تنها این توانایی را دارد تا دستگاه‌هایی که از اندروید 5.1 به پایین استفاده می‌کنند را هدف قرار دهد، بلکه قابلیت آلوده‌سازی 90 درصد دستگاه‌های اندرویدی را دارد. به‌طوری در نهایت برنامه‌های ناخواسته را روی دستگاه قربانی نصب می‌کند. در نتیجه می‌توان گفت این بدافزار دستگا‌ه‌های بسیاری در سراسر جهان را تهدید می‌کند. Godless شبیه به یک کیت اکسپلویت عمل کرده که چندین اکسپلویت دیگر را در خود میزبانی می‌کند. این کیت از یک چهارچوب منبع باز به نام android-rooting-tools برای دسترسی به روت دستگاه قربانی استفاده می‌کند. این گزارشی است که به‌طور رسمی در ارتباط با تهدید شناسایی شده در وبلاگ شرکت ترندمیکرو قرار گرفته است.

بر مبنای داده‌های به دست آمده توسط سرویس برنامه‌های مخرب شرکت امنیتی ترندمیکرو، این برنامه‌های مخرب ممکن است در فروش‌گاه‌های اندرویدی منجمله گوگل پلی نیز وجود داشته باشند که در نهایت چیزی بیش از 850 هزار دستگاه اندرویدی در سراسر جهان را تهدید می‌کنند. تصویر زیر توزیع دستگاه‌های آلوده در سراسر جهان را نشان می‌دهد.

آن‌گونه که ترندمیکرو گزارش داده است، این تهدید بر مبنای به دست آوردن مجوز روت دستگا‌ه‌ها عمل می‌کند. بعد از به دست آوردن مجوز، بدافزار در ادامه این توانایی را دارد تا از راه دور و در اختفای کامل نرم‌افزارهای ناخواسته را روی دستگاه آلوده نصب کرده یا حتا بدتر از آن به جاسوسی از کاربر بپردازد. برنامه‌های مخرب از نسخه‌های قدیمی Godless که شامل کدهای باینری اکسپلویت محلی است استفاده می‌کنند. این کدهای باینری از چهارچوب android-rooting-tools استفاده می‌کنند. زمانی که برنامه دانلود شد، بدافزار تا زمانی که صفحه‌نمایش دستگاه قربانی خاموش نشود، به انتظار می‌ماند. در ادامه فرآیند دسترسی به روت را آغاز می‌کند. قطعه کدی که در زمان خاموش شدن صفحه نمایش اجرا می‌شود را در تصویر زیر مشاهده می‌کنید.

زمانی که این فرآیند کامل شد، یک پی‌لود را در قالب یک برنامه مدیریت سیستمی در شکلی از یک فایل رمزنگاری شده با الگوریتم AES که _images نامیده‌ می‌شود روی دستگاه قربانی نصب می‌کند. این فایل به سادگی از روی دستگاه قربانی حذف نمی‌شود.

با این حال گونه جدید Godless برای واکشی اکسپلویت و پی‌لود کردن آن تنها از یک سرور راه دور کنترل و فرمان‌دهی (C&C) استفاده می‌کند. کارشناسان بر این باور هستند که این بدافزار این توانایی را دارد تا از تمامی مکانیزم‌های امنیتی که توسط فروشگاه‌هایی همچون گوگل‌ پلی مورد استفاده قرار می‌گیرد، عبور کند. این تیم برنامه‌های مختلفی را روی فروشگاه گوگل شناسایی کرده‌اند که شامل این کدهای مخرب بوده‌اند. این برنامه‌های مخرب در محدوده ابزارهای کاربردی همچون چراغ قوه، برنامه‌های مرتبط با وای فای و بازی‌های محبوب کپی شده قرار دارند. به‌طور مثال یک برنامه چراغ قوه آلوده در گوگل پلی summer Flashlight نام دارد که کدهای مخرب Godless را در خود جای داده است. البته به نظر می‌رسد، این برنامه از فروشگاه گوگل پلی حذف شده است. در همین ارتباط ترندمیکرو گزارش داده است که ما طیف گسترده‌ای از برنامه‌های عاری از مشکل که هیچ‌گونه کد مخربی درون آن‌ها وجود ندارد، را در گوگل پلی مشاهده کرده‌ایم، اما این برنامه‌ها پتانسیل مخاطره‌آمیز بودن را دارند. به‌طوری که این احتمال وجود دارد که در زمان ارتقا، نسخه‌های مخرب بدون آن‌که کاربر هیچ‌گونه اطلاعی داشته باشد، جایگزین برنامه‌های سالم شده و روی دستگاه کاربر نصب شوند. البته لازم است به این نکته توجه داشته باشید که به‌روزرسانی برنامه‌ها خارج از گوگل پلی نقص شرایط و ضوابط این فروشگاه است.

زمانی که برنامه‌ها را دانلود می‌کنید، صرفنظر از طبیعت آن‌ها همیشه باید سوابق طراح آن‌را مورد بررسی قرار دهید. شاید این کار در عمل خسته کننده به نظر برسد، اما ایده خوبی است. همواره به این نکته توجه داشته باشید که طراحان جدید و ناشناخته می‌توانند منبعی برای برنامه‌های مخرب باشند. یک آنتی‌ویروس قابل اعتماد هم گزینه جالب توجه دیگری به شمار می‌رود. همچنین سعی کنید برنامه‌ها را از منابع غیر قابل اعتماد دانلود نکنید.

==============================

شاید به این مقالات هم علاقمند باشید: