کشف بدافزار از قبل نصب شده، بر روی میلیون‌ها دستگاه معروف اندرویدی

کمیته رکن چهارم – شرکت Check Point از آلوده بودن نزدیک به پنج میلیون دستگاه تحت سیستم عامل اندروید به بدافزاری با عنوان RottenSys خبر داده است.

این شرکت اعلام کرده که RottenSys در ظاهر یک برنامک System Wi-Fi Service به صورت از قبل نصب شده بر روی دستگاه‌های جدید ساخت شرکت‌های زیر مشاهده شده است:

• Honor
• Huawei
• Xiaomi
• OPPO
• Vivo
• Samsung
• GIONEE

تمامی دستگاه‌های آلوده توسط یک شرکت چینی فروشنده گوشی‌های همراه توزیع شده‌اند. مشخص نیست که آیا این شرکت، خود، نقش مستقیمی در آلوده‌سازی این دستگاه‌ها پیش از عرضه شدن به کاربر داشته یا شبکه آن به نحوی مورد دست درازی هکرها قرار گرفته بوده است.

بر اساس توضیحات محققان کاشف این بدافزار پیچیده، RottenSys بر خلاف نام گمراه‌کننده‌اش، هیچ گونه سرویس Wi-Fi برای کاربر فراهم نمی‌کند. در عوض تمامی دسترسی‌های سطح بالا را بر روی دستگاه در اختیار می‌گیرد.

به گزارش شرکت مهندسی شبکه گستر، یافته‌های Check Point نشان می‌دهد که RottenSys حداق از سپتامبر ۲۰۱۶ فعال بوده است. تعداد کل دستگاه های آلوده به این بدافزار در ۲۱ اسفند ماه ۴,۹۶۴,۴۶۰ دستگاه اعلام شده است.

برای شناسایی نشدن و جلوگیری از مشکوک نشدن کاربر، بدافزار در ابتدا هیچ گونه رفتار مخربی از خود بروز نمی‌دهد.

بدافزار RottenSys به نحوی طراحی شده که با سرورهای فرماندهی خود ارتباط برقرار کرده و فهرستی از اجزای مخرب مورد نیاز مهاجمان را دریافت کند.

هر کدام از این اجزا با سطح دسترسی DOWNLOAD_WITHOUT_NOTIFICATION بر روی دستگاه نصب می‌شوند.

در حال حاضر این بدافزار سبب نمایش تبلیغات ناخواسته بر روی دستگاه آلوده شده می‌شود. تنها طی ده روز، مجموعاً بیش از ۱۳ میلیون تبلیغ ناخواسته بر روی این دستگاه‌ها نمایش داده شده که در نیم میلیون موارد کاربر بر روی تبلیغ کلیک کرده است.

بر اساس توضیحات Check Point گردانندگان RottenSys تنها در این ده روز بیش از ۱۱۵ هزار دلار درآمد کسب کرده‌اند.

با این حال این بدافزار، توانایی‌هایی بسیار بیشتر و مخرب تر از نمایش تبلیعات ناخواسته دارد. بنابراین این خطر وجود دارد که دیر یا زود مهاجمان دست به اجرای اقداماتی به مراتب مخرب‌تر بزنند.

شرکت Check Point اعلام کرده که وجود برنامک‌هایی با هر یک از عناوین زیر می‌تواند نشانه‌ای از آلوده بودن دستگاه به این بدافزار باشد:

• com.android.yellowcalendarz (每日黄历)
• com.changmi.launcher (畅米桌面)
• com.android.services.securewifi (系统WIFI服务)
• com.system.service.zdsgt

برای پاکسازی تنها کافی است که برنامک‌های مذکور از روی دستگاه Uninstall شوند.

مشروح گزارش Check Point در اینجا قابل دریافت و مطالعه است.

منبع : شبکه گستر