در طول حمله به دستگاه قربانی هیچگونه پیغامی مبنی بر اخذ مجوز از کاربر که برای نصب برنامههای اندرویدی نشان داده میشود، ظاهر نمیشود. بعد از نصب، باجافزار در اختفای کامل به تخریب سیستم کاربر میپردازد. جاشوا دریک، از شرکت امنیتی «Zimperium» در این باره گفته است: «تحلیل ما نشان میدهد که این اکسپلویت بر مبنای کتابخانه libxslt که چندی پیش در اثر وجود رخنهای در شرکت Hacking Team به بیرون راه پیدا کرد، ساخته شده است. همچنین کشف کردیم که این اکسپلویت از فایل اجرایی ELF لینوکس به نام module.co استفاده میکند که برای بارگذاری اکسپلویت futex و Towelroot اولین بار در سال 2014 میلادی کشف شد.» در حال حاضر تنها دو آنتیویروس موفق به طبقهبندی Towelroot شدهاند. Towelroot کدهایی را که برای دانلود و نصب این برنامه اندرویدی مخرب نیاز است، آماده میکند.
مطلب پیشنهادی
آنگونه که آزمایشگاه مؤسسه امنیتی «Blue Coat Systems» گزارش داده است، این باجافزار از آسیبپذیریهای موجود در نسخههای قدیمی اندروید استفاده میکند. در نتیجه بدون اینکه نیازی به اخذ مجوز از کاربر داشته باشد، روی سیستم او نصب میشود. این آزمایشگاه یک تبلت قدیمی سامسونگ (Cyanogenmod 10) را که در اصل از نسخه 4.2.2 اندروید استفاده میکند، آزمایش کرده و مشاهده کردهاند که به این باجافزار آلوده شده است.
نکتهای که باعث نگرانی مضاعف کارشناسان شده است، این است که بسیاری از دارندگان دستگاههای اندرویدی هیچ تمایلی برای بهروزرسانی دستگاه خود ندارند یا بدتر از آن، تعدادی از دستگاهها هیچگاه به نسخههای جدیدتر بهروزرسانی نخواهند شد. همین مسئله باعث میشود این دستگاهها همیشه در برابر این تهدید آسیبپذیر باشند.
از جمله این دستگاهها میتوان به پخشکنندههای چندرسانهای ارزانقیمتی که اساساً از اندروید استفاده کرده و به تلویزیونها متصل میشوند و از سیستمعامل اندروید 4.x استفاده میکنند، اشاره کرد. وضعیت دستگاههای اندرویدی قدیمی درست همانند کامپیوترهای شخصی است که این روزها همچنان از سیستمعامل ویندوز ایکسپی استفاده میکنند، در حالی که دیگر هیچگونه بهروزرسانی برای آنها ارسال نمیشود و در نتیجه در برابر تهدیدات آسیبپذیر هستند. گزارشهای Blue Coat نشان میدهد که تعدادی از بخشهای فعال در حوزه شبکه کمتر از یک ماه است که با این تهدید روبهرو شدهاند، در حالی که به نظر میرسد، دیگر بخشها از نیمههای فوریه یا حتی قبلتر از آن، در معرض این تهدید قرار گرفتهاند. کارشناسان Blue Coat با رهگیری درخواستهای ترافیک پروتکل HTTP که تعدادی از مشتریان این شرکت روی شبکه ارسال کرده بودند، موفق به ساخت پروفایلی از دستگاههای آلوده شدند. با دنبال کردن الگوی مورد استفاده در حملات و آدرسهای IP که اقدام به میزبانی کردهاند، کارشناسان موفق به طراحی نقشهای شدند که نحوه ارتباط میان این الگوها را نشان میدهد. اکنون میدانیم نرمافزار مخرب چگونه با مرکز کنترل و فرماندهی خود ارتباط برقرار میکند.
بررسی آزمایشگاه Blue Coat نشان میدهد که حداقل 224 مدل از دستگاههای اندرویدی کاربرانی که از نسخههای 4.0.3 و 4.4.4 استفاده میکنند، از 22 فوریه تا به امروز با مرکز کنترل و فرماندهی این باجافزار در ارتباط بودهاند. واقعیت این است که تعدادی از دارندگان این دستگاهها درباره آسیبپذیری libxlst که به واسطه کتابخانه به بیرون درز پیدا کرده و Hacking Team روی دستگاه آنها قرار دارد، هیچ گونه اطلاعی ندارند. در نتیجه این احتمال وجود دارد که اکسپلویتهای دیگری نیز به واسطه این نشتی اطلاعات روی دستگاهها وجود داشته باشد که تعداد دیگری از دستگاههای همراه را آلوده کند.
این اولین باری است که یک کیت اکسپلویت موفق شده است برنامههای مخرب را بدون اینکه هیچگونه تعاملی با کاربر داشته باشد، بهطور مخفیانه نصب کند. جالب آنکه شیوه کارکرد این باجافزار در مقایسه با باجافزارهای رایج دیگر منحصربهفرد و البته غیرمعمول است. در حالی که در شرایط عادی باجافزارها از قربانیان خود مبلغی برای آزادسازی دستگاه طلب میکنند، اما در مقابل باجافزار Dogspectus زمانی که روی دستگاه کاربر نصب شد و کنترل آن را به دست گرفت، از او میخواهد برای باز پسگیری دستگاه خود تعدادی کارت هدیه به ارزش صد دلار از فروشگاه «آیتیونز» بخرد.
==============================
شاید به این مقالات هم علاقمند باشید:
