کمیته رکن چهارم – بدافزارGodless،توسط گروه ترند میکرو در قالب ANDROIDOS_GODLESS.HRXشناساییشده است.تاکنون، این بدافزار حدود ۸۵۰۰۰۰ گوشی (در میان ۱٫۴ میلیارد گوشی اندروید) را آلوده کرده است.
به گزارش کمیته رکن چهارم،این بدافزار از آسیبپذیریهای موجود در سیستمعامل اندروید و نسخ ۵٫۱ به قبل سوءاستفاده میکند.
کد مخرب این بدافزار، در برنامههای کاربردی متعددی – که برخی از آنها نیز توسط Google Play به کاربران ارائه میشوند- افزودهشده است. با نصب این برنامهها، کد مخرب اجرا گردیده وآسیبپذیر بودن سیستمعامل گوشی بررسی میشود. در صورت وجود آسیبپذیری، بدافزار با سوءاستفاده از آسیبپذیریهای سطح ریشه – که در سیستمعامل اندورید کدهای سوءاستفاده از این آسیبپذیریها در گیتهاب قرار دادهشده است [۴]- سطح دسترسی برنامه را ارتقا میدهند و کنترل گوشی را در دست میگیرند. این بدافزار، هنگامیکه صفحه گوشی خاموش است، عملیات خود را انجام میدهد.
در نسخههای اولیه این بدافزار، پس از نصب در گوشی، لیستی از برنامههای موجود در Google Play را که در یک رشته رمز شده قرار داشت، نصب میکرد و با سوءاستفاده از حساب کاربری گوگل صاحب گوشی، اطلاعات کاربران را به سرقت میبرد؛ اما در نسخه جدید آن، بدافزار میتواند با سرور C&C خود در ارتباط باشد و دستورات را از سرور دریافت و اجرا کند.
۱-سیستمهای آسیبپذیر
بدافزار Godless، امنیت سیستمعامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید میکند. در میان گوشیهای اندروید حاضر، ۹۰ درصد گوشیها دارای سیستمعامل اندروید ۵٫۱ و یا قبل از آن هستند. طبق نمودار ۱، بیشترین تعداد گوشی آلودهشده به این بدافزار، به ترتیب در کشورهای هند و اندونزی مشاهدهشده است.این بدافزار، برای یافتن دسترسی سطح ریشه، از برخی آسیبپذیریهای موجود در سیستمعامل اندروید ۵٫۱ و یا قبل آن و کدهای ارائهشده برای سوءاستفاده از آنها که در [۴] وجود دارند، استفاده میکند. دو آسیبپذیری که بیشتر استفاده میشود،VE-2015-3636 و CVE-2014-3153 هستند.
نمودار ۱- نمودار توزیع تعداد گوشیهایآلودهشده به بدافزار Godless
این بدافزار، بهصورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامههای کاربردی متفاوتی اضافهشده است. برنامههای کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آنها توسط Google Play ارائه میشوند. برخی از برنامههای کاربردی نیز بهطور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق میکنند تا برنامههای کاربردی مشخصی– که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.
برنامههای کاربردی که حاوی کد مخرب بدافزار Godless هستند در دو گروه ابزارهای اندرویدی مانند چراغقوه و یا Wifi و یا برنامههای سرگرمی ارائهشده توسط توسعهدهندگان چون بازیهای مشهور قرار دارند. برای مثال، برنامه کاربردی چراغ قوهای چون Summer Flashlightحاوی کد مخرب این بدافزار است. این برنامه کاربردی هماکنون از لیست برنامههای موجود در Google Playحذفشده است.
در جدول ۱، لیستی از این برنامههای کاربردی که در قالب ابزار در سیستمعامل اندورید وجود دارند نامبرده شده است.
|
نام برنامه کاربردی مخرب |
چکیدهSHA1 |
نام بسته[۳] |
|
Geometry Dash |
۰۱b3e575791642278b7decf70f5783ecd638564d |
com.robtopx.geometryjump.admobpl |
|
uginMoboWiFi |
۷ebdd80761813da708bad3325b098dac9fa6e4f5 |
com.foresight.wifiseeker |
|
WiFi Anywhere |
۳۴b7b38ce1ccdd899ae14b15dd83241584cee32b |
com.foresight.wifianywhere |
|
MoboWiFi |
۸۴c444a742b616bc95c58a85c5c483412e327c50 |
com.foresight.wififast |
|
MoboWiFi |
۵۰۴۵۰ea11268c09350aab57d3de43a4d5004b3a1 |
com.foresight.wififast |
|
MoboWiFi |
aed8828dc00e79a468e7e28dca923ce69f0dfb84 |
com.foresight.wififast |
|
MoboWiFi |
۴۴e81be6f7242be77582671d6a11de7e33d19aca |
com.foresight.wififast |
|
MoboWiFi |
d57d17eb738b23023af8a6ddafd5cd3de42fc705 |
com.foresight.wififast |
|
Geometry Dash |
۱۷e5be80a4ed583923937e41ea7c1f4963748d1f |
com.robtopx.geometryjump.tw |
|
Geometry Dash |
۹f586480fbc745ee6b28bfce3f1abe4ff00d01b1 |
com.robtopx.geometryjump.tw |
|
Minecraft – Pocket Edition |
۸۸۸f10677b65bf0a86cf4447a1ebc418df8a37e8 |
com.mojang.minecraftpe.admobplug in |
|
AndroidDaemon Frame |
۷۴a55e9ea67d5baf90c1ad231e02f6183195e564 |
com.android.google.plugin.dameon |
|
Minecraft – Pocket Edition |
۵۹۰۰fabbe36e71933b3c739ec62ba89ac15f5453 |
com.mojang.minecraftpe.admobplug in |
جدول ۱- نام و چکیده برنامههای حاوی کد مخرب بدافزارGodless
همچنین، در جدول ۲، لیستی از برنامههای کاربردی در دسته سرگرمی که توسط توسعهدهندگان برنامههای اندروید ارائهشدهاند و حاوی کد مخرب بدافزار هستند، نشان دادهشده است.
|
نام برنامه کاربردی مخرب |
چکیده SHA1 |
نام بسته |
|
Live Launcher |
e70b1084e02d4697f962be4cc5a54fdb19ce780a |
homescreen.boost.launcher.free.small.theme |
|
Lock Screen |
a3e84c4b770ef7626e71c9388a4741804dc32c15 |
com.iodkols.onekeylockscreen |
|
多多每日壁纸 |
۶۷۱fa9291bf465580ec1ea1e55ce8a5ce2d848c7 |
com.dotools.dtbingwallpaper |
|
多多每日壁纸 |
e10efdecab3998cba5236645b5966af6ff4162f1 |
com.dotools.dtbingwallpaper |
|
۴ iDO Calculators |
۵۷۷۹۵c32f75a02a68b9a8acb5820eb039c083a16 |
com.ibox.calculators |
|
Live Launcher |
c74eb5fa1234620297330874bd23605158a890d2 |
homescreen.boost.launcher.free.small.theme |
|
FlashLight |
۵d2a08d7c1f665ea3affa7f9607601ffae387e8b |
com.foresight.free.flashlight |
|
Easy Softkey |
۴۱۶b1fe39eaaa4d83c7785d97e390d129dbea248 |
com.oeiskd.easysoftkey |
|
iDO Alarm Clock |
۷۸۰۹e1b6f85ee0fa7f0c2a3f1bfdc7fa668742bb |
com.dotools.clock |
جدول ۲- نام وچکیده برنامههای حاوی کد مخرب بدافزارGodless
۲- چگونگی رفع آسیبپذیری
یافتن دسترسی ریشه در سیستمعامل اندروید، عامل اصلی رخداد حمله توسط این بدافزار است. برنامه حاوی کد مخرب بدافزار، با سوءاستفاده از آسیبپذیریهای موجود در سیستمعامل اندروید، سطح دسترسی خود را به ریشه ارتقا میدهد. تغییر سطح دسترسی در اندروید، امکانات متنوعی را در اختیار برنامهها قرار میدهد که بسته به کاربرد، میتواند مزیت تلقی شود؛ اما اگر این سطح از دسترسی در اختیار بدافزار قرار گیرد، خطرناک است. لذا، رفع آسیبپذیریهایی که امکان تغییر سطح دسترسی به ریشه را میسر میکند، میتواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless و بدافزارهای مشابه باشد. در حال حاضر، آسیبپذیریهای مرتبط با یافتن سطح دسترسی ریشه، در نسخه ۵٫۱ سیستمعامل اندروید رفع شده است و دستگاههای حاوی این نسخه باید بهروزرسانی شوند.
همچنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشیهای هوشمند اندرویدی، از نصب برنامههای کاربردی از بازارهای نامعتبر خودداری کنند؛ بنابراین پیشنهاد میشود از بازارهای معتبری چون Google Play و Amazonبرنامهها را خریداری و نصب کنند.
۳- شیوه حمله
این بدافزار، بهصورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامههای کاربردی متفاوتی اضافهشده است. برنامههای کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آنها توسط Google Play ارائه میشوند. برخی از برنامههای کاربردی نیز بهطور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق میکنند تا برنامههای کاربردی مشخصی – که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.
برنامه کاربردی که حاوی کد مخرب بدافزار Godless است، از یک آسیبپذیری کتابخانهای به اسم libgodlikelib.so استفاده میکند. این کتابخانه، خود از کدهای ارائهشده در [۴] برای سوءاستفاده از آسیبپذیریهایی که توسط ابزارهای تغییر سطح دسترسی به ریشه هستند استفاده میکند. بدافزار، پس از یافتن کتابخانه مربوطه و یافتن سطح دسترسی ریشه در قالب یک برنامه کاربردی سیستمی به فعالیت خود ادامه میدهد.
شکل ۱- بخشی از عملیات بدافزار Godless در یافتن کتابخانه آسیبپذیر
این برنامه مخرب، پس از نصب بر روی گوشی قربانی صبر میکند تا صفحه گوشی تلفن همراه خاموش شود و سپس، عملیات مخرب خود را اجرا کرده و با سوءاستفاده از آسیبپذیریهای موجود در سیستمعامل اندروید، دسترسی سطح ریشه را مییابد. رشته رمز شدهAES با نام __imageدر این برنامهها حاوی کد مخرب اجرایی بدافزار استکه پس از تغییر سطح دسترسی برنامه مخرب به سطح دسترسی ریشه اجرای میشود.
شکل ۲- کد بررسی خاموش بودن صفحه گوشی همراه
اخیراً، نوع جدیدی از بدافزار Godlessشناساییشده است که رشته مخرب در برنامه کاربردی مخرب قرار نمیگیرد، بلکه، از طریق سرور C&C، دستورات لازم به برنامه کاربردی مخرب ارسال میشود. این سرور، در آدرس hxxp://market[.]moboplay[.]com/softs[.]ashx قرار دارد.
۴- جمعبندی
بدافزار Godless، امنیت سیستمعامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید میکند. در میان گوشیهای اندروید حاضر، ۹۰ درصد گوشیها دارای سیستمعامل اندروید ۵٫۱ و یا قبل از آن هستند.این بدافزار، از آسیبپذیریهای موجود در هسته سیستمعامل اندروید سوءاستفاده کرده و سطح دسترسی برنامه مخرب را از کاربر به ریشه تغییر میدهد. پس از یافتن سطح دسترسی ریشه، بدافزار به اطلاعات شخصی و دادههای سطح ریشه در سیستمعامل اندروید دسترسی مییابد و کنترل گوشی را به عهده میگیرد. رفع آسیبپذیریهایی که امکان تغییر سطح دسترسی به ریشه را میسر میکند، میتواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless و بدافزارهای مشابه باشدهمچنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشیهای هوشمند اندرویدی، از نصب برنامههای کاربردی از بازارهای نامعتبر خودداری کنند.
