loading...

این بدافزار 20 هزار قربانی گرفته و از روی دستگاه پاک نمی شود

آکاایران: این بدافزار 20 هزار قربانی گرفته و از روی دستگاه پاک نمی شود

آکاایران: trojanized adware

این بدافزار 20 هزار قربانی گرفته و از روی دستگاه پاک نمی شود

این بدافزار 20 هزار قربانی گرفته و از روی دستگاه پاک نمی شود
تاکنون اخبار زیادی درباره بدافزارهایی که برنامه ها و دستگاه های کاربران آندرویدی را مورد حمله قرار داده اند، شنیده ایم. اما اکنون خبر از بدافزار جدیدی به گوش می رسد که حتی با ریست کردن گوشی ها از روی آن ها پاک نمی شود. تاکنون بیش از 20 هزار برنامه به این بدافزار آلوده شده اند. بدافزاری که به گفته کارشناسان نه تنها از روی دستگاه کاربران پاک نمی شود، بلکه با ریست و بازگردان دستگاه به تنظیمات کارخانه همچنان روی دستگاه قربانی باقی می ماند.

کارشناسان امنیتی به تازگی گونه جدیدی از بدافزارها را در قالب برنامه های محبوبی همچون فیس بوک، توییتر، Google Now، WhatsApp، NYTimes و Okta و بسیاری دیگر از برنامه ها شناسایی کرده اند که توانایی دسترسی به مجوزهای سیستمی را دارد. شیوه کارکرد این بدافزارر به گونه است که خود را در قالب یک فایل سیستمی در دستگاه کاربر نصب می کند و همین موضوع باعث می شود بدافزار را نتوان از روی دستگاه قربانی حذف کرد.

مطلب پیشنهادی: نسل بعدی ضدویروس ها به روزرسانی نمی خواهند!

این بدافزار خطرناک اولین بار توسط شرکت Lookout، یک شرکت امنیتی فعال در حوزه موبایل کشف شد. Lookout این بدافزار را trojanized adware نامیده است. تحقیقات این شرکت نشان می دهد، سازندگان این بدافزار از روش های نوینی برای کسب درآمد از سوی این بدافزار استفاده کرده اند. آن گونه که شرکت Lookout گزارش داده است، بدافزارنویسان نرم افزارهای قانونی و معتبر را از فروشگاه گوگل پلی استور دانلود کرده، آن ها را همراه با کدهای مخرب دومرتبه بسته بندی کرده و به عنوان برنامه های ثالث در فروشگاه های آندروید آپلود می کنند. در بیشتر حالات، برنامه های آلوده فاقد آن که هیچ گونه هشداری به کاربر نشان دهند، به فعالیت خود ادامه می دهند. بر خلاف بسیاری از بدافزارها که نشانه هایی از خود نشان می دادند؛ بدافزار نوین به صورت کاملا بی صدا به فعالیت های خود می پردازد.

شیوه کارکرد این بدافزار چگونه است؟

کاربر یک برنامه آلوده، برنامه خود را از یک فروشگاه آندرویدی دانلود می کند. برنامه به طور خودکار به روت سیستم دسترسی پیدا کرده و یک حفره امنیتی را به وجود می آورد به این گونه راه را برای حملاتی که از سوی هکر برنامه ریزی شده است باز می کند. از مدت زمانی که بدافزار روی سیستم قربانی نصب می شود، انواع مختلفی از تبلیغات را به کاربر نشان داده و هکر با استفاده از این روش درآمد بالایی کسب می کند. این شرکت در وبلاگ خود نوشته است: « قطعه بدافزاری فوق این توانایی را دارد تا خود را به روت دستگاه رسانده و در قالب یک برنامه سیستمی در دستگاه قربانی نصب شود. همین موضوع باعث می شود حذف این بدافزار غیرممکن شود. در نتیجه در بعضی موارد تنها راه پیش روی قربانی خرید یک دستگاه نوین است. اما خبر خوب در ارتباط با گوگل پلی است. تاکنون هیچ نشانه ای از دانلود برنامه های مخرب از گوگل پلی مشاهده نشده است و تنها فروشگاه های آندرویدی هستند که برنامه های آلوده را میزبانی کرده اند.»
Lookout از یک سال پیش تاکنون مطالعاتی را روی سه گونه مرتبط از بدافزارها انجام داده است. این شرکت امنیتی مستقر در سان فرانسیسکو تاکنون سه خانواده مشابه از این بدافزارهای تبلیغاتی مخرب، مبتنی بر آندروید را شناسایی کرده است که برای ارسال تبلیغات به سوی کاربران مورد استفاده قرار می گیرند. Shuanet، Kemoge (که به نام ShiftyBug نیز نامیده می شود) و Shedun ( یا GhostPush) گونه های شناسایی شده از این بدافزار هستند. خانواده بدافزارهای Shuanet توانایی دسترسی خودکار به ریشه و پنهان شدن در پوشه سیستمی را دارند. ShiftyBug به تازگی دردسرهایی را برای قربانیان خود به وجود آورده است، به طوری که اقدام به نصب نرم افزارهایی روی سیستم کاربران می کند.Shedun گونه دیگری از بدافزار trojanized است. این سه بدافزار در ترکیب با یکدیگر موفق شده اند تقریبا 20 هزار برنامه را آلوده سازند. برنامه احراز هویت دو عاملی Okta از جمله این برنامه های آلوده است. »

این بدافزار 20 هزار قربانی گرفته و از روی دستگاه پاک نمی شود

دردسر بزرگ تری که این بدافزار به وجود آورده است در ارتباط با برنامه های سازمانی همچون Okta قرار دارد، این برنامه ها به داده هایی دسترسی پیدا می کنند که در انتظار دریافت آن ها نبوده اند. دسترسی به اطلاعات حساس سازمان ها از جمله این موارد به شمار می رود. این بدافزار تاکنون در کشورهای ایالات متحده، آلمان، ایران، روسیه، هند، سودان، برزیل، مکزیک و اندونزی بیشترین قربانی را داشته است. البته به گفته Lookout این احتمال وجود دارد که میزان آلودگی در آینده گسترش پیدا کند. تحقیقاتی که توسط این شرکت امنیتی روی نمونه کدها انجام گرفته است، نشان می دهد تقریبا 71 تا 80 درصد کدهای مورد استفاده در این بدافزارها یکسان هستند. به این معنی که بدافزارنویسان از قطعات نرم افزاری یکسانی برای نوشتن گونه های مختلفی از بدافزار auto-rooting استفاده کرده اند. همه این بدافزارها از اکسپلویت یکسانی استفاده کرده اند. شرکت Lookout پیش بینی کرده است که در آینده نزدیک شاهد رشد بدافزارهایی باشیم که توانایی دسترسی به مجوز های سیستمی را داشته، خود را به بهترین شکل پنهان ساخته و در اختفای کامل به فعالیت های خود ادامه دهند.

لازم به توضیح است مگان کلی در پست متعلق به این شرکت در جواب کاربری که از او سؤال کرده بود آیا با ریست کارخانه ای می توان این بدافزار را حذف یا خیر در جواب گفته بود این کار امکان پذیر نیست.

این بدافزار 20 هزار قربانی گرفته و از روی دستگاه پاک نمی شود

.

منبع : shabakeh-mag.com

تبلیغات