کمیته رکن چهارم – شرکت Blue Coat Systems از انتشار باج افزاری (Ransomware) خبر داده که دستگاه های با سیستم عامل Android را در زمان مراجعه کاربران آنها به سایت های مخرب از طریق دو بهره جو (Exploit) آلوده می کند.
به گزارش کمیته رکن چهارم،
هر چند حملات تحت وبی که از طریق بهره جوها، آسیب پذیری های کامپیوترهای با سیستم عامل Windows را هدف قرار می دهند فراوانند، اما نمونه های تحت Android آن بسیار نادر است.
محققان شرکت Blue Coat Systems زمانی که یکی از دستگاه های Tablet این شرکت در حین مرور یک سایت، بدون نمایش هیچگونه پیام سیستمی، آلوده به باج افزار شد بررسی را آغاز کردند.
این بررسی ها مشخص کرد که سایت مرور شده حاوی یک کد بهره جوی نوشته شده به زبان JavaScript بوده که از ضعف های امنیتی libxslt سوءاستفاده می کرده است. این بهره جو یکی از مواردی بود که در جریان هک شدن شرکت ایتالیایی Hacking Team در تابستان سال گذشته فاش شد.
در صورت موفقیت این بهره جو در سوءاستفاده از دستگاه همراه کاربر، یک فایل اجرایی Executable and Linkable Format با نام module.so بر روی دستگاه کپی می شود. این فایل نیز با سوءاستفاده از یک ضعف امنیتی دیگر، حق دسترسی خود را در حد root (بالاترین سطح دسترسی) ارتقاء داده و کنترل دستگاه را در دست می گیرد. بهره جوی استفاده شده توسط module.so که با نام Towelroot شناخته می شود، در سال ۲۰۱۴ منتشر شد.
با آلوده شدن دستگاه، module.so اقدام به دانلود و نصب بی سر و صدای یک فایل Android Application Packageو(APK) که در حقیقت باج افزاری با عنوان Cyber.Police است می کند.
بر خلاف باج افزارهای رایج این روزها، Cyber.Police فایل های کاربر را رمزنگاری نکرده و در عوض با نمایش پیغام های جعلی، اینطور القاء می کند که بر اثر فعالیت های غیر قانونی کاربر، دستگاه او توسط نهادهای قانونی مسدود شده و کاربر می بایست جریمه ای را پرداخت کند.
این باج افزار تا زمانی که مبلغ اخاذی شده پرداخت نشود اجازه هیچگونه فعالیتی را به کاربر نمی دهد. هر چند که در صورت انجام Reset Factory می توان این باج افزار را معدوم کرد. راه حلی که منجر به حذف تمامی داده های کاربر می شود و بنابراین در صورت انتخاب این راهکار اتصال دستگاه به کامپیوتر و تهیه نسخه پشتیبان از فایل ها توصیه می شود.
قابلیت Verify Apps در دستگاه های با سیستم عامل Android می تواند از اجرا شدن بهره جوهایی همچون Towelroot جلوگیری کند. برای فعال کردن این قابلیت می بایست به بخش Settings > Google > Security > Scan device for security threats مراجعه شود.
منبع:رسانه خبری امنیت اطلاعات
