کمیته رکن چهارم – به احتمال زیاد کم و بیش در مورد باجافزار «گریه» که ماه گذشته صدها میلیون رایانهی ویندوزی را در سراسر جهان آلوده کرد، اطلاعاتی به گوشتان خورده است. باجافزاری در حوزهی اندروید با نام Slocker مشاهده شده که از واسطهایی مشابه باجافزار گریه استفاده کرده و از آن تقلید میکند. باجافزار Slocker یکی از اولینها در حوزهی اندروید بود که پروندههای قربانیان را بر روی تلفن همراه رمزنگاری میکرد. هرچند بازهی موفقیت این باجافزار بسیار کوتاه بود چرا که عواملی که آن را نوشته بودند، چند روز پس از تشخیص آن، دستگیر شدند.
این بدافزار در وهلهی اول به دلیل محدودیت در کانالهای انتقال، تعداد محدودی از دستگاههای تلفن همراه را توانسته بود آلوده کند. ولی اخیراً شاهد هستیم که این باجافزار دوباره برگشته و سعی دارد بر روی موفقیتهای باجافزار گریه سرمایهگذاری کند. محققان ترندمیکرو گزارش دادند نمونهی اصلی از این بدافزار اوایل این ماه شناسایی شده و King of Glory Auxiliary نام داشته و بهعنوان ابزاری برای تقلب در یک بازی به همین نام مورد استفاده قرار گرفته است.
این بدافزار وقتی سامانه را آلوده کرد، ظاهری مشابه به باجافزار گریه را نمایش میداد. برای اینکه کاربران به نصب این بدافزار راغب شوند، این بدافزار در قالب یک برنامهی پخشکنندهی ویدئو و سایر برنامهها مخفی میشود. پس از اجرای اولیهی برنامه، نام و آیکون آن تغییر کرده و تصویر پسزمینهی دستگاه آلوده نیز عوض میشود.
بدافزار پس از اجرا شدن بررسی میکند که آیا قبلاً نصب شده یا خیر. در ادامه نیز یک عدد تصادفی تولید کرده و اگر از قبل وجود نداشته باشد در SharedPreferences ذخیره میکند. در ادامه این تهدید مکان ذخیرهسازی خارجی دستگاه را مکانیابی کرده و تهدید جدیدی را آغاز میکند. محققان امنیتی توضیح دادند: «این باجافزار از رمزنگاری پروندههای سامانهای امتناع میکند و تنها پروندهها و تصاویر بارگیریشده را رمزنگاری میکند.»
بدافزار براساس عدد تصادفی که قبلاً تولید شده یک رمز را تولید میکند و از آن برای ایجاد کلیدهای رمزنگاری AES استفاده میکند. قربانیان باجافزار Slocker با ۳ گزینه برای پرداخت باج مواجه هستند. در هر ۳ گزینه در انتها به یک کد کیوآر میرسیم که از قربانی درخواست میکند در سرویس پرداخت تلفن همراه چینی با نام QQ، باج را پرداخت کند.باجافزار همچنین قربانیان را تهدید کرده که پس از گذشت ۳ روز مقدار باج را افزایش داده و پروندهها را حذف میکند.
محققان ترندمیکرو اشاره کردند: «در مقایسه با باجافزارهایی که قبلاً مشاهده کردهایم، این باجافزار بسیار ساده است. بهطوری که یک مهندس به راحتی میتواند بر روی کد آن مهندسی معکوس انجام داده و روشی برای رمزگشایی آن پیدا کند.» برای محافظت در برابر چنین تهدیداتی، به کاربران توصیه میکنیم برنامههای کاربردی را فقط از فروشگاههای قانونی و معتبر بارگیری کنند و همچنین مجوزهایی که درخواست میکند را بررسی کنید. بهطور منظم از دادهها پشتیبان تهیه کرده و راهحل امنیتی مناسبی بر روی سامانهی خود نصب کنید.
منبع : securityweek
