trojanized adware
این بدافزار 20 هزار قربانی گرفته و از روی دستگاه پاک نمی‌شود
تاکنون اخبار زیادی درباره بدافزارهایی که برنامه‌ها و دستگاه‌های کاربران آندرویدی را مورد حمله قرار داده‌اند، شنیده‌ایم. اما اکنون خبر از بدافزار جدیدی به گوش می‌رسد که حتی با ریست کردن گوشی‌ها از روی آن‌ها پاک نمی‌شود. تاکنون بیش از 20 هزار برنامه به این بدافزار آلوده شده‌اند. بدافزاری که به گفته کارشناسان نه تنها از روی دستگاه کاربران پاک نمی‌شود، بلکه با ریست و بازگردان دستگاه به تنظیمات کارخانه همچنان روی دستگاه قربانی باقی می‌ماند.

shabake-mag.jpg

کارشناسان امنیتی به تازگی گونه جدیدی از بدافزارها را در قالب برنامه‌های محبوبی همچون فیس‌بوک، توییتر، Google Now، WhatsApp، NYTimes و Okta و بسیاری دیگر از برنامه‌ها شناسایی کرده‌اند که توانایی دسترسی به مجوزهای سیستمی را دارد. شیوه کارکرد این بد‌افزار به گونه‌‌است که خود را در قالب یک فایل سیستمی در دستگاه کاربر نصب می‌کند و همین موضوع باعث می‌شود بدافزار را نتوان از روی دستگاه قربانی حذف کرد.

مطلب پیشنهادی: نسل بعدی ضدویروس‌ها به‌روزرسانی نمی‌خواهند!

این بدافزار خطرناک اولین بار توسط شرکت Lookout، یک شرکت امنیتی فعال در حوزه موبایل کشف شد. Lookout این بدافزار را trojanized adware نامیده است. تحقیقات این شرکت نشان می‌دهد، سازندگان این بدافزار از روش‌های نوینی برای کسب درآمد از سوی این بدافزار استفاده کرده‌اند. آن‌گونه که شرکت Lookout گزارش داده است، بدافزارنویسان نرم‌افزارهای قانونی و معتبر را از فروشگاه گوگل پلی استور دانلود کرده، آن‌ها را همراه با کدهای مخرب دومرتبه بسته‌بندی کرده و به عنوان برنامه‌های ثالث در فروشگاه‌های آندروید آپلود می‌کنند. در بیشتر حالات، برنامه‌های آلوده بدون آن‌که هیچ‌گونه هشداری به کاربر نشان دهند، به فعالیت خود ادامه می‌دهند. بر خلاف بسیاری از بدافزارها که نشانه‌هایی از خود نشان می‌دادند؛ بدافزار جدید به صورت کاملا بی‌صدا به فعالیت‌های خود می‌پردازد.

شیوه کارکرد این بدافزار چگونه است؟

کاربر یک برنامه آلوده، برنامه خود را از یک فروشگاه آندرویدی دانلود می‌کند. برنامه به‌طور خودکار به روت سیستم دسترسی پیدا کرده و یک حفره‌ امنیتی را به وجود می‌آورد به این‌گونه راه را برای حملاتی که از سوی هکر برنامه‌ریزی شده است باز می‌کند. از مدت زمانی که بدافزار روی سیستم قربانی نصب می‌شود، انواع مختلفی از تبلیغات را به کاربر نشان داده و هکر با استفاده از این روش درآمد بالایی کسب می‌کند. این شرکت در وبلاگ خود نوشته است: « قطعه بدافزاری فوق این توانایی را دارد تا خود را به روت دستگاه رسانده و در قالب یک برنامه سیستمی در دستگاه قربانی نصب شود. همین موضوع باعث می‌شود حذف این بدافزار غیرممکن شود. در نتیجه در بعضی موارد تنها راه پیش روی قربانی خرید یک دستگاه جدید است. اما خبر خوب در ارتباط با گوگل پلی است. تاکنون هیچ نشانه‌ای از دانلود برنامه‌های مخرب از گوگل پلی مشاهده نشده است و تنها فروشگاه‌های آندرویدی هستند که برنامه‌های آلوده را میزبانی کرده‌اند.»
Lookout از یک سال پیش تاکنون مطالعاتی را روی سه گونه مرتبط از بدافزارها انجام داده است. این شرکت امنیتی مستقر در سان فرانسیسکو تاکنون سه خانواده مشابه از این بدافزارهای تبلیغاتی مخرب، مبتنی بر آندروید را شناسایی کرده است که برای ارسال تبلیغات به سوی کاربران مورد استفاده قرار می‌گیرند. Shuanet، Kemoge (که به نام ShiftyBug نیز نامیده می‌شود) و Shedun ( یا GhostPush) گونه‌های شناسایی شده از این بدافزار هستند. خانواده بدافزارهای Shuanet توانایی دسترسی خودکار به ریشه و پنهان شدن در پوشه سیستمی را دارند. ShiftyBug به تازگی دردسرهایی را برای قربانیان خود به وجود آورده است، به‌طوری که اقدام به نصب نرم‌افزارهایی روی سیستم کاربران می‌کند.Shedun گونه دیگری از بدافزار trojanized است. این سه بدافزار در ترکیب با یکدیگر موفق شده‌اند نزدیک به 20 هزار برنامه را آلوده سازند. برنامه احراز هویت دو عاملی Okta از جمله این برنامه‌های آلوده است. »

دردسر بزرگ‌تری که این بدافزار به وجود آورده است در ارتباط با برنامه‌های سازمانی همچون Okta قرار دارد، این برنامه‌ها به داده‌هایی دسترسی پیدا می‌کنند که در انتظار دریافت آن‌ها نبوده‌اند. دسترسی به اطلاعات حساس سازمان‌ها از جمله این موارد به شمار می‌رود. این بدافزار تاکنون در کشورهای ایالات متحده، آلمان، ایران، روسیه، هند، سودان، برزیل، مکزیک و اندونزی بیشترین قربانی را داشته است. البته به گفته Lookout این احتمال وجود دارد که میزان آلودگی در آینده گسترش پیدا کند. تحقیقاتی که توسط این شرکت امنیتی روی نمونه کدها انجام گرفته است، نشان می‌دهد نزدیک به 71 تا 80 درصد کدهای مورد استفاده در این بدافزارها یکسان هستند. به این معنی که بدافزارنویسان از قطعات نرم‌افزاری یکسانی برای نوشتن گونه‌های مختلفی از بدافزار auto-rooting استفاده کرده‌اند. همه این بدافزارها از اکسپلویت یکسانی استفاده کرده‌اند. شرکت Lookout پیش‌بینی کرده است که در آینده نزدیک شاهد رشد بدافزارهایی باشیم که توانایی دسترسی به مجوز‌های سیستمی را داشته، خود را به بهترین شکل پنهان ساخته و در اختفای کامل به فعالیت‌های خود ادامه دهند.

لازم به توضیح است مگان کلی در پست متعلق به این شرکت در جواب کاربری که از او سؤال کرده بود آیا با ریست کارخانه‌ای می‌توان این بدافزار را حذف یا خیر در جواب گفته بود این‌کار امکان‌پذیر نیست.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟