کمیته رکن چهارم – محققان امنیتی از شرکت آواست اعلام کردند بدافزار Triada که سال قبل بهعنوان یکی از پیشرفتهترین تهدیدات در حوزهی تلفنهای همراه شناسایی شد، قابلیتهای جلوگیری از تشخیص خود را بهبود داده و با برخی از ویژگیهای محیط جعبه شنی سازگار شده است.
به گزارش کمیته رکن چهارم،این بدافزار برای اولین بار، سال گذشته مورد بررسی قرار گرفت که از فرآیند Zygote برای قلاب کردن برنامههای موجود بر روی دستگاه استفاده میکرد. داشتن ویژگی ماژولار در این بدافزار برای هدایت و تغییر مسیر پیامکهای مالی برای خرید محتوای بیشتر یا سرقت پول کاربر مورد استفاده قرار میگیرد.
بدافزار Triada به تازگی استفاده از جعبه شنی متنباز DroidPlugin را آغاز کرده است که بدون نصب یک برنامه میتواند آن را بارگیری و اجرا نماید. با کمک این جعبه شنی، بدافزار برنامههای مخرب اندروید را بارگذاری کرده و بدون نصب آنها بر روی دستگاه، به اجرای آنها میپردازد. با این اقدام، کشف بدافزار برای راهحلهای ضدبدافزاری بسیار سخت میشود چرا که هیچ پروندهی مخربی در قسمت برنامههای میزبان نصب نشده است.
این بدافزار با استفاده از روشهای مهندسی اجتماعی و تحریک کاربر به بارگیری و نصب آن توزیع میشود. پس از نصب، بدافزار آیکون خود را از صفحهی نمایش تلفن همراه مخفی کرده و در پسزمینه به سرقت اطلاعات میپردازد بدون اینکه به کاربر قربانی هشداری بدهد. هرچند نسخههای قبلی از این بدافزار از جعبه شنی DroidPlugin استفاده نمیکردند، ولی محققان از آبان ماه سال گذشته مشاهده کردند که بدافزار با روشهای این جعبه شنی مطابقت پیدا کرده است. با آغاز استفاده از این جعبه شنی توسط بدافزار Triada نویسندهی بدافزار یک آسیبپذیری خارج از محدودهی حافظه را در این ابزار کشف و به توسعهدهندهی آن گزارش داده است.
به گزارش محققان امنیتی، بدافزار خود را در قالب برنامهی Wandoujia که یک فروشگاه معروف برنامههای اندروید در چین است، مخفی میکند. علاوه بر این مشاهده شده این بدافزار تمامی افزونههای خود را برای اجرا شدن در پوشهی جعبه شنی DroidPlugin قرار داده است. محققان میگویند: «هریک از این افزونهها عملیات مخرب مخصوص به خود را انجام میدهند. بهعنوان مثال یکی از این افزونهها با کارگزار دستور و کنترل ارتباط برقرار کرده و دستورات لازم برای اجرای افزونهها را دریافت میکند. این دستورات دریافتشده باید توسط افزونههای دیگر انجام شوند.»
محققان همچنین اشاره کردند، نویسندهی این بدافزار، افزونههای مخرب را در قالب یک برنامه با هم ادغام نکرده تا هریک از افزونهها قابلیت بارگیری و اجرا توسط جعبه شنی DroidPlugin را داشته باشند. برنامهی میزبان که نصب شده، دارای هیچ فعالیت مخربی نبوده و توسط برنامههای ضدبدافزار شناسایی و مسدود نخواهد شد.
تاکنون تعداد بسیار محدودی از بدافزارها مشاهده شدهاند که برای اهداف مخرب خود از روشهای جعبه شنی استفاده میکنند ولی باید پس از این، شاهد افزایش استفاده از چنین روشهایی باشیم. باتوجه به این ویژگی که جعبه شنی بدون نصب یک برنامه میتواند آن را اجرا کند، این روش میتواند توسط بدافزارهای مختلف مورد استفاده قرار بگیرد.
منبع:security week
