بدافزار Godless

بدافزارکمیته رکن چهارم – بدافزارGodless،توسط گروه ترند میکرو در قالب ANDROIDOS_GODLESS.HRXشناسایی‌شده است.تاکنون، این بدافزار حدود ۸۵۰۰۰۰ گوشی (در میان ۱٫۴ میلیارد گوشی اندروید) را آلوده کرده است.

به گزارش کمیته رکن چهارم،این بدافزار از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید و نسخ ۵٫۱ به قبل سوءاستفاده می‌کند.

کد مخرب این بدافزار، در برنامه‌های کاربردی متعددی – که برخی از آن‌ها نیز توسط Google Play به کاربران ارائه می‌شوند- افزوده‌شده است. با نصب این برنامه‌ها، کد مخرب اجرا گردیده وآسیب‌پذیر بودن سیستم‌عامل گوشی بررسی می‌شود. در صورت وجود آسیب‌پذیری، بدافزار با سوءاستفاده از آسیب‌پذیری‌های سطح ریشه – که در سیستم‌عامل اندورید کدهای سوءاستفاده از این آسیب‌پذیری‌ها در گیت‌هاب قرار داده‌شده است [۴]- سطح دسترسی برنامه را ارتقا می‌دهند و کنترل گوشی را در دست می‌گیرند. این بدافزار، هنگامی‌که صفحه گوشی خاموش است، عملیات خود را انجام می‌دهد.

در نسخه‌های اولیه این بدافزار، پس از نصب در گوشی، لیستی از برنامه‌های موجود در Google Play‌ را که در یک رشته رمز شده قرار داشت، نصب می‌کرد و با سوءاستفاده از حساب کاربری گوگل صاحب گوشی، اطلاعات کاربران را به سرقت می‌برد؛ اما در نسخه جدید آن، بدافزار می‌تواند با سرور C&C خود در ارتباط باشد و دستورات را از سرور دریافت و اجرا کند.

۱-سیستم‌های آسیب‌پذیر

بدافزار Godless، امنیت سیستم‌عامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید می‌کند. در میان گوشی‌های اندروید حاضر، ۹۰ درصد گوشی‌ها دارای سیستم‌عامل اندروید ۵٫۱ و یا قبل از آن هستند. طبق نمودار ۱،  بیشترین تعداد گوشی آلوده‌شده به این بدافزار، به ترتیب در کشورهای هند و اندونزی مشاهده‌شده است.این بدافزار، برای یافتن دسترسی سطح ریشه، از برخی آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید ۵٫۱ و یا قبل آن و کدهای ارائه‌شده برای سوءاستفاده از آن‌ها که در [۴] وجود دارند، استفاده می‌کند. دو آسیب‌پذیری که بیشتر استفاده می‌شود،VE-2015-3636 و CVE-2014-3153 هستند.

نمودار ۱-  نمودار توزیع تعداد گوشی‌هایآلوده‌شده به بدافزار Godless

این بدافزار، به‌صورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامه‌های کاربردی متفاوتی اضافه‌شده است. برنامه‌های کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آن‌ها توسط Google Play ارائه می‌شوند. برخی از برنامه‌های کاربردی نیز به‌طور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق می‌کنند تا برنامه‌های کاربردی مشخصی– که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.

برنامه‌های کاربردی که حاوی کد مخرب بدافزار Godless‌ هستند در دو گروه ابزارهای  اندرویدی مانند چراغ‌قوه و یا Wifi و یا برنامه‌های سرگرمی ارائه‌شده توسط توسعه‌دهندگان چون بازی‌های مشهور قرار دارند. برای مثال، برنامه کاربردی چراغ قوه‌ای چون Summer Flashlightحاوی کد مخرب این بدافزار است. این برنامه کاربردی هم‌اکنون از لیست برنامه‌های موجود در Google Playحذف‌شده است.

در جدول ۱، لیستی از این برنامه‌های کاربردی که در قالب ابزار در سیستم‌عامل اندورید وجود دارند نام‌برده شده است.

نام برنامه ‌کاربردی مخرب

چکیدهSHA1

نام بسته[۳]

Geometry Dash

۰۱b3e575791642278b7decf70f5783ecd638564d

com.robtopx.geometryjump.admobpl

uginMoboWiFi

۷ebdd80761813da708bad3325b098dac9fa6e4f5

com.foresight.wifiseeker

WiFi Anywhere

۳۴b7b38ce1ccdd899ae14b15dd83241584cee32b

com.foresight.wifianywhere

MoboWiFi

۸۴c444a742b616bc95c58a85c5c483412e327c50

com.foresight.wififast

MoboWiFi

۵۰۴۵۰ea11268c09350aab57d3de43a4d5004b3a1

com.foresight.wififast

MoboWiFi

aed8828dc00e79a468e7e28dca923ce69f0dfb84

com.foresight.wififast

MoboWiFi

۴۴e81be6f7242be77582671d6a11de7e33d19aca

com.foresight.wififast

MoboWiFi

d57d17eb738b23023af8a6ddafd5cd3de42fc705

com.foresight.wififast

Geometry Dash

۱۷e5be80a4ed583923937e41ea7c1f4963748d1f

com.robtopx.geometryjump.tw

Geometry Dash

۹f586480fbc745ee6b28bfce3f1abe4ff00d01b1

com.robtopx.geometryjump.tw

Minecraft – Pocket Edition

۸۸۸f10677b65bf0a86cf4447a1ebc418df8a37e8

com.mojang.minecraftpe.admobplug in

AndroidDaemon Frame

۷۴a55e9ea67d5baf90c1ad231e02f6183195e564

com.android.google.plugin.dameon

Minecraft – Pocket Edition

۵۹۰۰fabbe36e71933b3c739ec62ba89ac15f5453

com.mojang.minecraftpe.admobplug in

جدول ۱- نام و چکیده برنامه‌های حاوی کد مخرب بدافزارGodless

هم‌چنین، در جدول ۲، لیستی از برنامه‌های کاربردی در دسته سرگرمی که توسط توسعه‌دهندگان برنامه‌های اندروید ارائه‌شده‌اند و حاوی کد مخرب بدافزار هستند، نشان داده‌شده است.

نام برنامه ‌کاربردی مخرب

چکیده SHA1

نام بسته

Live Launcher

e70b1084e02d4697f962be4cc5a54fdb19ce780a

homescreen.boost.launcher.free.small.theme

Lock Screen

a3e84c4b770ef7626e71c9388a4741804dc32c15

com.iodkols.onekeylockscreen

多多每日壁

۶۷۱fa9291bf465580ec1ea1e55ce8a5ce2d848c7

com.dotools.dtbingwallpaper

多多每日壁

e10efdecab3998cba5236645b5966af6ff4162f1

com.dotools.dtbingwallpaper

۴ iDO Calculators

۵۷۷۹۵c32f75a02a68b9a8acb5820eb039c083a16

com.ibox.calculators

Live Launcher

c74eb5fa1234620297330874bd23605158a890d2

homescreen.boost.launcher.free.small.theme

FlashLight

۵d2a08d7c1f665ea3affa7f9607601ffae387e8b

com.foresight.free.flashlight

Easy Softkey

۴۱۶b1fe39eaaa4d83c7785d97e390d129dbea248

com.oeiskd.easysoftkey

iDO Alarm Clock

۷۸۰۹e1b6f85ee0fa7f0c2a3f1bfdc7fa668742bb

com.dotools.clock

جدول ۲- نام وچکیده برنامه‌های حاوی کد مخرب بدافزارGodless

۲- چگونگی رفع آسیب‌پذیری

یافتن دسترسی ریشه در سیستم‌عامل اندروید، عامل اصلی رخداد حمله توسط این بدافزار است. برنامه حاوی کد مخرب بدافزار، با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید، سطح دسترسی خود را به ریشه ارتقا می‌دهد. تغییر سطح دسترسی در اندروید، امکانات متنوعی را در اختیار برنامه‌ها قرار می‌دهد که بسته به کاربرد، می‌تواند مزیت تلقی شود؛ اما اگر این سطح از دسترسی در اختیار بدافزار قرار گیرد، خطرناک است. لذا، رفع آسیب‌پذیری‌هایی که امکان تغییر سطح دسترسی به ریشه را میسر می‌کند، می‌تواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless‌ و بدافزارهای مشابه باشد. در حال حاضر، آسیب‌پذیری‌های مرتبط با یافتن سطح دسترسی ریشه، در نسخه ۵٫۱ سیستم‌عامل اندروید رفع شده است و دستگاه‌های حاوی این نسخه باید به‌روزرسانی شوند.

هم‌چنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشی‌های هوشمند اندرویدی، از نصب برنامه‌های کاربردی از بازارهای نامعتبر خودداری کنند؛ بنابراین پیشنهاد می‌شود از بازارهای معتبری چون Google Play‌ و Amazonبرنامه‌ها را خریداری و نصب کنند.

۳- شیوه حمله

این بدافزار، به‌صورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامه‌های کاربردی متفاوتی اضافه‌شده است. برنامه‌های کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آن‌ها توسط Google Play ارائه می‌شوند. برخی از برنامه‌های کاربردی نیز به‌طور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق می‌کنند تا برنامه‌های کاربردی مشخصی – که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.

برنامه‌ کاربردی که حاوی کد مخرب بدافزار Godless‌ است، از یک آسیب‌پذیری کتابخانه‌ای به اسم libgodlikelib.so استفاده می‌کند. این کتابخانه، خود از کدهای ارائه‌شده در [۴] برای سوءاستفاده از آسیب‌پذیری‌هایی که توسط ابزارهای تغییر سطح دسترسی به ریشه هستند استفاده می‌کند. بدافزار، پس از یافتن کتابخانه مربوطه و یافتن سطح دسترسی ریشه در قالب یک برنامه کاربردی سیستمی به فعالیت خود ادامه می‌دهد.

شکل ۱- بخشی از عملیات بدافزار Godless در یافتن کتابخانه آسیب‌پذیر

این برنامه مخرب، پس از نصب بر روی گوشی قربانی صبر می‌کند تا صفحه گوشی تلفن همراه خاموش شود و سپس،  عملیات مخرب خود را اجرا کرده و با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید، دسترسی سطح ریشه را می‌یابد. رشته‌ رمز شدهAES با نام __image‌در این برنامه‌ها حاوی کد مخرب اجرایی بدافزار استکه پس از تغییر سطح دسترسی برنامه مخرب به سطح دسترسی ریشه اجرای می‌شود.

شکل ۲- کد بررسی خاموش بودن صفحه گوشی همراه

اخیراً، نوع جدیدی از بدافزار Godlessشناسایی‌شده است که رشته مخرب در برنامه کاربردی مخرب قرار نمی‌گیرد، بلکه، از طریق سرور C&C، دستورات لازم به برنامه کاربردی مخرب ارسال می‌شود. این سرور، در آدرس hxxp://market[.]moboplay[.]com/softs[.]ashx قرار دارد.

۴- جمع‌بندی

بدافزار Godless، امنیت سیستم‌عامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید می‌کند. در میان گوشی‌های اندروید حاضر، ۹۰ درصد گوشی‌ها دارای سیستم‌عامل اندروید ۵٫۱ و یا قبل از آن هستند.این بدافزار، از آسیب‌پذیری‌های موجود در هسته سیستم‌عامل اندروید سوءاستفاده کرده و سطح دسترسی برنامه مخرب را از کاربر به ریشه تغییر می‌دهد. پس از یافتن سطح دسترسی ریشه، بدافزار به اطلاعات شخصی و داده‌های سطح ریشه در سیستم‌عامل اندروید دسترسی می‌یابد و کنترل گوشی را به عهده می‌گیرد. رفع آسیب‌پذیری‌هایی که امکان تغییر سطح دسترسی به ریشه را میسر می‌کند، می‌تواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless‌ و بدافزارهای مشابه باشدهم‌چنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشی‌های هوشمند اندرویدی، از نصب برنامه‌های کاربردی از بازارهای نامعتبر خودداری کنند.

منبع:مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Blue Captcha Characters Below.