کمیته رکن چهارم – شاید بتوان سال جدید میلادی را سالی مهم برای باجافزارها قلمداد کرد. درواقع حجم باجافزارهای کشفشده و تنوع آنها دو برابر شده است.
به گزارش کمیته رکن چهارم، با این اوصاف با رشد نفوذ و تأثیر این باجافزارها باید آنها را بهعنوان مهمترین تهدید تلقی نمود. باج افزارها نوع خاصی از بدافزارها هستند که با ورود به گوشی شخص قربانی آن را قفل کرده و امکان دسترسی فرد را به اطلاعات خود از بین میبرند سپس یک پنجره کوچک (pop up) بر روی صفحهنمایش گوشی قربانی ظاهر میشود که حاوی پیامی با این مضمون است که در صورت نیاز به بازیابی اطلاعات خود باید مبلغی را به حساب شخص سودجو بپردازید تا اجازه دهد گوشی از حالت قفل شده خارج شود. در اینگونه موارد شخص قربانی چارهای جز پاک کردن دادههای دستگاه خود نداشته که نتیجهی آن از دست رفتن همه اطلاعات وی خواهد بود.
شرکت امنیتی Symantec، نوع جدیدی از باجافزار اندرویدی از نوع (Android.Lockdroid.E) را بهتازگی کشف کرده است که در نوع خود از تاکتیکهای جدیدی بهره میبرد که شاخص اصلی آن استفاده از بسته نصب و راهاندازی جعلی است که به وسیله آن مجوزهای قانونی را برای مدیریت دستگاه قربانی به بدافزار خواهد داد. حال با داشتن این امتیاز قانونی بدافزار موردنظر توانایی رمزنگاری فایلهای موجود در دستگاه قربانی را خواهد داشت، از قابلیتهای دیگری که این بدافزار دارد میتوان به قفلکردن دستگاه موردنظر، تغییر پین کد دستگاه و حتی حذف و پاکسازی تمام دادههای کاربر از طریق فرمان بازگشت به تنظیمات کارخانه اشاره نمود.
روشهای اخاذی مورد استفاده توسط باجافزار
باجافزارهای اندرویدی به دنبال اخاذی از قربانیان خود هستند. در بیشتر مواقع هنگامیکه شخص قربانی برنامه کاربردی آلوده به باجافزار را دانلود و نصب میکند، بدافزار صفحهنمایش گوشی را قفل نموده و یک هشدار جعلی تحت عنوان اینکه کاربر به دادههای ممنوع دسترسی پیدا کرده است را به نمایش میگذارد. در واقع بدافزار با این کار لیست مخاطبان قربانی را جمعآوری و دادههای آن را رمزنگاری مینماید.
بیشتر تکنیکها برای سرقت داده و سودجویی از اشخاص مبتنی بر مهندسی اجتماعی است که با فریب کاربر، او را قانع میکند تا به برنامه کاربردی آلوده مجوزهای مدیریتی را بدهد. پیشتر تفویض مجوزهای مدیریتی به برنامه کاربردی آلوده و مراحل آن بهمراه توضیحات گمراهکننده بر روی صفحهنمایش گوشی قربانی قابل مشاهده بود. در تصویر زیر نمونهای از این قبیل گرفتن مجوزهای مدیریتی دستگاه، دیده میشود.
با تفویض مجوزهای مدیریتی به برنامه کاربردی آلوده، بدافزار اقدام به قفل نمودن صفحهنمایش دستگاه، تغییر پین کد دستگاه و یا فعال سازی تنظیمات بازگشت به کارخانه را خواهد کرد. بهعلاوه بدافزار مانع از غیرفعال ساختن و یا حذف برنامه مورد نظر چه از طریق واسطکاربری و یا واسطهای دستوری توسط کاربر میشود.
اما این باجافزار جدید، هوشمندانهتر عمل میکند. در واقع پس از استفاده از مهندسیهای اجتماعی پیچیده برای دریافت مجوزهای مدیریتی پس از نصب برنامه کاربردی و اجرای آن توسط کاربر، پیام فعالسازی سیستم توسط پوسته جعلی با مضمون “بستههای فرآیند نصب” مطابق شکل زیر فراخوانی میشود.
کاربر در اینجا تصور میکند که باید بستههای ضروری مربوط به گوگل را نصب کند و کلید ادامه را میفشارد، اما درواقع بدافزار اولین گام برای فعالسازی برنامه مخرب را برداشته است.
گام اول
گام اول نمایش پیامهای جعلی حاوی بستههای فرآیند نصب است که در شکل بالا نشان داده شد. هنگامیکه این پیام به نمایش گذاشته شود، در پسزمینه برنامه کاربردی تمام فایلهای موجود در حافظه خارجی دستگاه را رمزنگاری نموده و اطلاعات حساس قربانی را جمعآوری میکند. معمولاً پیام فعالسازی باید در لایه بالایی واسط کاربری باشد، ولی این بدافزار جدید از پنجره TYPE_SYSTEM_ERROR، همانطور که در شکل زیرمیبینید استفاده نموده و پیام خود را در بالاترین لایه قرار میدهد و درنتیجه پیام فعالسازی اصلی که شامل اخذ مجوزهای مدیریتی است پنهان میماند.
گام دوم
پس از گذشت چند ثانیه پیام نهایی با عنوان “اتمام فرآیند نصب” ظاهر میشود. در این گام است که کاربر فریب خورده و تمامی مجوزهای قانونی را به بدافزار میدهد. پیغام “اتمام فرآیند نصب” درواقع یک پنجره TYPE_SYSTEM_OVERLAY است. یکی از مشخصات کلیدی این پنجره عدم تمرکز بر روی ورودیهای دریافتی است. این بدان معنی است که پنجره مسئولیتی در رابطه با واسط کاربری UI برای اجرای فرآیندی همچون کلیک بر روی کلید موردنظر را ندارد. درنتیجه همانطور که در شکل زیر نیز قابلمشاهده است هرگونه فشردن یا لمس کردن صفحهنمایش عملاً به پنجره زیرین منتقلشده و مجوزهای مدیریتی را به برنامه آلوده خواهد داد.
باید این نکته را اضافه نمود که از نسخه ۵ سیستمعامل اندروید (lollipop) به بعد، دو پیغام نمایش داده شده در بالا بر روی پیغامهای حق دسترسی سیستمی قرار نمیگیرند؛ بنابراین این تکنیک تنها نسخههای قدیمیتر از نسخه ۵ اندروید را متأثر خواهد کرد، که تعداد دستگاههای موجود بالغ بر ۶۷ درصد از دستگاههای مبتنی بر سیستمعامل اندروید است و زنگ خطر را برای کاربران این نسخهها به صدا در خواهد آورد.
راهکارهای مقابله با این دست باجافزارها
حتماً بر روی دستگاه خود برنامه ضدویروس بروز رسانی شده داشته باشید.
سیستمعامل دستگاه خود را بروز نگاه دارید.
تنها از فروشگاههای معتبر و رسمی، برنامههای کاربردی موردنظر خود را دانلود کنید.
انتخاب صحیح و درست در برگزیدن و نصب برنامههای کاربردی باید انجام گیرد. بهتر است قبل از نصب برنامهها تحقیقات اندکی بر روی آنها صورت گیرد و همچنین اجازه دسترسیهای مورد نیاز برنامهها بررسی شود که اگر فراتر از حد مورد نیاز بود آن برنامه نصب نشود.
منبع:مرکز ماهر