کمیته رکن چهارم – کارشناسان امنیتی به تازگی گونه جدیدی از بدافزارها را در قالب برنامههای محبوبی همچون فیسبوک، توییتر، Google Now، WhatsApp، NYTimes و Okta و بسیاری دیگر از برنامهها شناسایی کردهاند که توانایی دسترسی به مجوزهای سیستمی را دارد.
به گزارش کمیته رکن چهارم،شیوه کارکرد این بدافزار به گونهاست که خود را در قالب یک فایل سیستمی در دستگاه کاربر نصب میکند و همین موضوع باعث میشود بدافزار را نتوان از روی دستگاه قربانی حذف کرد.
این بدافزار خطرناک اولین بار توسط شرکت Lookout، یک شرکت امنیتی فعال در حوزه موبایل کشف شد. Lookout این بدافزار را trojanized adware نامیده است. تحقیقات این شرکت نشان میدهد، سازندگان این بدافزار از روشهای نوینی برای کسب درآمد از سوی این بدافزار استفاده کردهاند. آنگونه که شرکت Lookout گزارش داده است، بدافزارنویسان نرمافزارهای قانونی و معتبر را از فروشگاه گوگل پلی استور دانلود کرده، آنها را همراه با کدهای مخرب دومرتبه بستهبندی کرده و به عنوان برنامههای ثالث در فروشگاههای آندروید آپلود میکنند. در بیشتر حالات، برنامههای آلوده بدون آنکه هیچگونه هشداری به کاربر نشان دهند، به فعالیت خود ادامه میدهند. بر خلاف بسیاری از بدافزارها که نشانههایی از خود نشان میدادند؛ بدافزار جدید به صورت کاملا بیصدا به فعالیتهای خود میپردازد.
شیوه کارکرد این بدافزار چگونه است؟
کاربر یک برنامه آلوده، برنامه خود را از یک فروشگاه آندرویدی دانلود میکند. برنامه بهطور خودکار به روت سیستم دسترسی پیدا کرده و یک حفره امنیتی را به وجود میآورد به اینگونه راه را برای حملاتی که از سوی هکر برنامهریزی شده است باز میکند. از مدت زمانی که بدافزار روی سیستم قربانی نصب میشود، انواع مختلفی از تبلیغات را به کاربر نشان داده و هکر با استفاده از این روش درآمد بالایی کسب میکند. این شرکت در وبلاگ خود نوشته است: « قطعه بدافزاری فوق این توانایی را دارد تا خود را به روت دستگاه رسانده و در قالب یک برنامه سیستمی در دستگاه قربانی نصب شود. همین موضوع باعث میشود حذف این بدافزار غیرممکن شود. در نتیجه در بعضی موارد تنها راه پیش روی قربانی خرید یک دستگاه جدید است. اما خبر خوب در ارتباط با گوگل پلی است. تاکنون هیچ نشانهای از دانلود برنامههای مخرب از گوگل پلی مشاهده نشده است و تنها فروشگاههای آندرویدی هستند که برنامههای آلوده را میزبانی کردهاند.»
Lookout از یک سال پیش تاکنون مطالعاتی را روی سه گونه مرتبط از بدافزارها انجام داده است. این شرکت امنیتی مستقر در سان فرانسیسکو تاکنون سه خانواده مشابه از این بدافزارهای تبلیغاتی مخرب، مبتنی بر آندروید را شناسایی کرده است که برای ارسال تبلیغات به سوی کاربران مورد استفاده قرار میگیرند. Shuanet، Kemoge (که به نام ShiftyBug نیز نامیده میشود) و Shedun ( یا GhostPush) گونههای شناسایی شده از این بدافزار هستند. خانواده بدافزارهای Shuanet توانایی دسترسی خودکار به ریشه و پنهان شدن در پوشه سیستمی را دارند. ShiftyBug به تازگی دردسرهایی را برای قربانیان خود به وجود آورده است، بهطوری که اقدام به نصب نرمافزارهایی روی سیستم کاربران میکند.Shedun گونه دیگری از بدافزار trojanized است. این سه بدافزار در ترکیب با یکدیگر موفق شدهاند نزدیک به ۲۰ هزار برنامه را آلوده سازند. برنامه احراز هویت دو عاملی Okta از جمله این برنامههای آلوده است. »
دردسر بزرگتری که این بدافزار به وجود آورده است در ارتباط با برنامههای سازمانی همچون Okta قرار دارد، این برنامهها به دادههایی دسترسی پیدا میکنند که در انتظار دریافت آنها نبودهاند. دسترسی به اطلاعات حساس سازمانها از جمله این موارد به شمار میرود. این بدافزار تاکنون در کشورهای ایالات متحده، آلمان، ایران، روسیه، هند، سودان، برزیل، مکزیک و اندونزی بیشترین قربانی را داشته است. البته به گفته Lookout این احتمال وجود دارد که میزان آلودگی در آینده گسترش پیدا کند. تحقیقاتی که توسط این شرکت امنیتی روی نمونه کدها انجام گرفته است، نشان میدهد نزدیک به ۷۱ تا ۸۰ درصد کدهای مورد استفاده در این بدافزارها یکسان هستند. به این معنی که بدافزارنویسان از قطعات نرمافزاری یکسانی برای نوشتن گونههای مختلفی از بدافزار auto-rooting استفاده کردهاند. همه این بدافزارها از اکسپلویت یکسانی استفاده کردهاند. شرکت Lookout پیشبینی کرده است که در آینده نزدیک شاهد رشد بدافزارهایی باشیم که توانایی دسترسی به مجوزهای سیستمی را داشته، خود را به بهترین شکل پنهان ساخته و در اختفای کامل به فعالیتهای خود ادامه دهند.
لازم به توضیح است مگان کلی در پست متعلق به این شرکت در جواب کاربری که از او سؤال کرده بود آیا با ریست کارخانهای میتوان این بدافزار را حذف یا خیر در جواب گفته بود اینکار امکانپذیر نیست.
