هشدار مهم / باج افزار Android.Lockdroid.E

کمیته رکن چهارم – شاید بتوان سال جدید میلادی را سالی مهم برای باج‌افزارها قلمداد کرد. درواقع حجم باج‌افزارهای کشف‌شده و تنوع آن‎‌ها دو برابر شده است. با این اوصاف با رشد نفوذ و تأثیر این باج‌افزارها باید آن‌ها را به‌عنوان مهم‌ترین تهدید تلقی نمود.

به گزارش کمیته رکن چهارم،باج افزارها نوع خاصی از بدافزارها هستند که با ورود به گوشی شخص قربانی آن را قفل کرده و امکان دسترسی فرد را به اطلاعات خود از بین می‌برند سپس یک پنجره کوچک (pop up) بر روی صفحه‌نمایش گوشی قربانی ظاهر می‌شود که حاوی پیامی با این مضمون است که در صورت نیاز به بازیابی اطلاعات خود باید مبلغی را به ‌حساب شخص سودجو بپردازید تا اجازه دهد گوشی از حالت قفل شده خارج شود. در این‌گونه موارد شخص قربانی چاره‌ای جز پاک کردن داده‌های دستگاه خود نداشته که نتیجه‌ی آن از دست رفتن همه اطلاعات وی خواهد بود.
شرکت امنیتی Symantec، نوع جدیدی از باج‌افزار اندرویدی از نوع (Android.Lockdroid.E) را به‌تازگی کشف کرده است که در نوع خود از تاکتیک‌های جدیدی بهره می‌برد که شاخص اصلی آن استفاده از بسته نصب و راه‌اندازی جعلی است که به‌ وسیله آن مجوزهای قانونی را برای مدیریت دستگاه قربانی به بدافزار خواهد داد. حال با داشتن این امتیاز قانونی بدافزار موردنظر توانایی رمزنگاری فایل‌های موجود در دستگاه قربانی را خواهد داشت، از قابلیت‌های دیگری که این بدافزار دارد می‌توان به قفل‌کردن دستگاه موردنظر، تغییر پین کد دستگاه و حتی حذف و پاک‌سازی تمام داده‌های کاربر از طریق فرمان بازگشت به تنظیمات کارخانه اشاره نمود.
روش‌های اخاذی مورد استفاده توسط باج‌افزار
باج‌افزارهای اندرویدی به دنبال اخاذی از قربانیان خود هستند. در بیشتر مواقع هنگامی‌که شخص قربانی برنامه کاربردی آلوده به باج‌افزار را دانلود و نصب می‌کند، بدافزار صفحه‌نمایش گوشی را قفل نموده و یک هشدار جعلی تحت عنوان اینکه کاربر به داده‌های ممنوع دسترسی پیدا کرده است را به نمایش می‌گذارد. در واقع بدافزار با این کار لیست مخاطبان قربانی را جمع‌آوری و داده‌های آن را رمزنگاری می‌نماید.
بیشتر تکنیک‌ها برای سرقت داده‌ و سودجویی از اشخاص مبتنی بر مهندسی اجتماعی است که با فریب کاربر، او را قانع می‌کند تا به برنامه کاربردی آلوده مجوزهای مدیریتی را بدهد. پیش‌تر تفویض مجوزهای مدیریتی به برنامه کاربردی آلوده و مراحل آن بهمراه توضیحات گمراه‌کننده بر روی صفحه‌نمایش گوشی قربانی قابل ‌مشاهده بود. در تصویر زیر نمونه‌ای از این قبیل گرفتن مجوزهای مدیریتی دستگاه، دیده می‌شود.

با تفویض مجوزهای مدیریتی به برنامه کاربردی آلوده، بدافزار اقدام به قفل نمودن صفحه‌نمایش دستگاه، تغییر پین کد دستگاه و یا فعال سازی تنظیمات بازگشت به کارخانه را خواهد کرد. به‌علاوه بدافزار مانع از غیرفعال ساختن و یا حذف برنامه مورد نظر چه از طریق واسط‌کاربری و یا واسط‌های دستوری توسط کاربر می‌شود.
اما این باج‌افزار جدید، هوشمندانه‌تر عمل می‌کند. در واقع پس از استفاده از مهندسی‌های اجتماعی پیچیده برای دریافت مجوزهای مدیریتی پس از نصب برنامه کاربردی و اجرای آن توسط کاربر، پیام فعال‌سازی سیستم توسط پوسته جعلی با مضمون “بسته‌های فرآیند نصب” مطابق شکل زیر فراخوانی می‌شود.

کاربر در اینجا تصور می‌کند که باید بسته‌های ضروری مربوط به گوگل را نصب کند و کلید ادامه را می‌فشارد، اما درواقع بدافزار اولین گام برای فعال‌سازی برنامه مخرب را برداشته است.

گام اول
گام اول نمایش پیام‌های جعلی حاوی بسته‌های فرآیند نصب است که در شکل بالا نشان داده شد. هنگامی‌که این پیام به نمایش گذاشته شود، در پس‌زمینه برنامه کاربردی تمام فایل‌های موجود در حافظه خارجی دستگاه را رمزنگاری نموده و اطلاعات حساس قربانی را جمع‌آوری می‌کند. معمولاً پیام فعال‌سازی باید در لایه بالایی واسط کاربری باشد، ولی این بدافزار جدید از پنجره TYPE_SYSTEM_ERROR، همان‌طور که در شکل زیرمی‌بینید استفاده نموده و پیام خود را در بالاترین لایه قرار می‌دهد و درنتیجه پیام فعال‌سازی اصلی که شامل اخذ مجوزهای مدیریتی است پنهان می‌ماند.

گام دوم
پس از گذشت چند ثانیه پیام نهایی با عنوان “اتمام فرآیند نصب” ظاهر می‌شود. در این گام است که کاربر فریب خورده و تمامی مجوزهای قانونی را به بدافزار می‌دهد. پیغام “اتمام فرآیند نصب” درواقع یک پنجره TYPE_SYSTEM_OVERLAY است. یکی از مشخصات کلیدی این پنجره عدم تمرکز بر روی ورودی‌های دریافتی است. این بدان معنی است که پنجره مسئولیتی در رابطه با واسط کاربری UI برای اجرای فرآیندی همچون کلیک بر روی کلید موردنظر را ندارد. درنتیجه همان‌طور که در شکل زیر نیز قابل‌مشاهده است هرگونه فشردن یا لمس کردن صفحه‌نمایش عملاً به پنجره زیرین منتقل‌شده و مجوزهای مدیریتی را به برنامه آلوده خواهد داد.

باید این نکته را اضافه نمود که از نسخه ۵ سیستم‌عامل اندروید (lollipop) به بعد، دو پیغام نمایش داده شده در بالا بر روی پیغام‌های حق دسترسی سیستمی قرار نمی‌گیرند؛ بنابراین این تکنیک تنها نسخه‌های قدیمی‌تر از نسخه ۵ اندروید را متأثر خواهد کرد، که تعداد دستگاه‌های موجود بالغ ‌بر ۶۷ درصد از دستگاه‌های مبتنی بر سیستم‌عامل اندروید است و زنگ خطر را برای کاربران این نسخه‌ها به صدا در خواهد ‌آورد.

راهکارهای مقابله با این دست باج‌افزارها
حتماً بر روی دستگاه خود برنامه ضدویروس بروز رسانی شده داشته باشید.
سیستم‌عامل دستگاه خود را بروز نگاه دارید.
تنها از فروشگاه‌های معتبر و رسمی، برنامه‌های کاربردی موردنظر خود را دانلود کنید.
انتخاب صحیح و درست در برگزیدن و نصب برنامه‌های کاربردی باید انجام گیرد. بهتر است قبل از نصب برنامه‌ها تحقیقات اندکی بر روی آن‌ها صورت گیرد و همچنین اجازه دسترسی‌های مورد نیاز برنامه‌ها بررسی شود که اگر فراتر از حد مورد نیاز بود آن برنامه نصب نشود.

منبع:رسانه خبری امنیت اطلاعات