باج‌افزاری تحت Android، با توانایی‌های مخرب

کمیته رکن چهارم – باج‌افزار جدیدی با قابلیت‌های پیشرفته و نسبتاً خاص دستگاه‌های با سیستم عامل Android را هدف قرار داده است. این باج‌افزار که به DoubleLokcer معروف شده از سرویس Accessibility در این سیستم عامل سوءاستفاده می‌کند.

سرویس Accessibility بخشی برای آسان کردن دسترسی کاربران با ناتوانی‌های جسمی به دستگاه تحت Android است.

به نظر می‌رسد DoubleLokcer بر اساس کدهای بدافزار بانکی معروف Svpeng توسعه داده شده است. بدافزاری که برای نخستین بار قادر به انجام خرابکاری‌های زیر بر روی دستگاه‌های با سیستم عامل Android شد:

• سرقت از حساب بانکی افراد از طریق سرویس‌های مبتنی بر پیامک
• نمایش پنجره‌های ورود به سیستم جعلی در زمان اجرای برنامک‌های مجاز بانکی
• تغییر کد موسوم به PIN، مسدود ساختن دسترسی به دستگاه و اخاذی در ازای بازگردانی حق دسترسی

البته در DoubleLokcer، حداقل در نسخه فعلی آن، از قابلیت‌های سرقت از حساب بانکی Svpeng استفاده نشده است.

همچنین در مقایسه با سایر باج‌افزارهای Android، باج‌افزار DoubleLokcer قابلیت‌ها و ویژگی‌های خاصی دارد. از جمله اینکه نخستین باج‌افزاری است که از سرویس Accessibility به منظور دست یافتن به حق دسترسی بالا بر روی دستگاه بهره‌جویی می‌کند.

نویسنده یا نویسندگان DoubleLokcer برای آلوده ساختن دستگاه‌های همراه به این باج‌افزار با بکارگیری تکنیک‌های مهندسی اجتماعی کاربر را تشویق به نصب یک برنامک مخرب – البته در ظاهر نرم‌افزار Flash Player – می‌کنند. در زمان نصب شدن برنامک مذکور از کاربر خواسته می‌شود تا مجوز دسترسی برنامک به سرویس Accessibility را صادر کند.

با دسترسی یافتن برنامک، کد مخرب با حق دسترسی Admin قادر به اجرای کامل خرابکاری‌ها و دست‌درازی‌ها به دستگاه خواهد شد.

از جمله اینکه دسترسی به دستگاه با نمایش یک اطلاعیه باج‌گیری مسدود می‌شود، کد PIN با کدی تصادفی جایگزین می‌گردد و تمامی فایل‌های موجود بر روی حافظه اصلی با الگوریتم AES رمزگذاری می‌شود. DoubleLokcer پسوند cryeye را به فایل‌های رمزگذاری شده الصاق می‌کند.

کد جدید PIN و کلید رمزگذاری نیز به گرداننده یا گردانندگان این باج‌افزار ارسال می‌شود.

همچنین DoubleLokcer با تخصیص خود به عنوان برنامک پیش‌فرض اجرا شونده بر روی دستگاه، در هر بار فشرده شدن دگمه Home توسط کاربر مجدداً فعال می‌شود. در حقیقت، هدف این مکانیزم ناتوان ساختن کاربر در دسترسی یافتن به برنامک‌های بر روی دستگاه است.

DoubleLokcer یکی از محدود باج‌افزارهای تحت سیستم عامل Android است که فایل‌های بر روی دستگاه را رمزگذاری می‌کند. اکثر باج‌افزارهای Android صرفاً دسترسی به دستگاه را با فعال کردن دائمی یک برنامک بر روی برنامک‌های دیگر مسدود می‌کنند.

مبلغ اخاذی شده در این نسخه از باج‌افزار ۰٫۰۱۳ بیت‌کوین (حدود ۷۴ دلار) است.

بدیهی است که دسترسی به دستگاه قفل شده توسط DoubleLokcer با انجام عملیات بازگردانی کارخانه‌ای (Factory Reset) امکان‌پذیر است. ضمن اینکه در دستگاههای Root شده بازگشایی دسترسی در حالت موسوم به Debugging Mode و بدون نیاز به انجام عملیات بازگردانی کارخانه‌ای ممکن است. اما متاسفانه در زمان نگارش این خبر، راهکاری برای بازگردانی فایل‌های رمزگذاری شده توسط DoubleLokcer، بدون در اختیار داشتن کلید رمزگشایی فراهم نمی‌باشد.

برای ایمن ماندن از گزند این نوع بدافزارها، رعایت موارد زیر توصیه می‌شود:

• سیستم عامل و برنامک‌های نصب شده بر روی دستگاه همراه خود را همیشه به آخرین نسخه ارتقاء دهید.
• برنامک‌ها را فقط از بازار توزیع دیجیتال رسمی شرکت Googleو (Play Store) یا حداقل بازارهای مورد اعتماد معروف دریافت کنید. همچنین از غیرفعال بودن گزینه Unknown sources در بخش Settings و از فعال بودن گزینه Scan device for security threats در قسمت Google Settings دستگاه اطمینان داشته باشید. با غیرفعال بودن گزینه نخست، از اجرا شدن فایل‌های APK میزبانی شده در بازارهای ناشناخته بر روی دستگاه جلوگیری می‌شود. وظیفه گزینه دوم نیز پایش دوره‌ای دستگاه است.
• پیش از نصب هر برنامک امتیاز و توضیحات کاربران آن را مرور کرده و به نکات منفی توضیحات کاربران بیشتر توجه کنید.
• به حق دسترسی‌های درخواستی برنامک در زمان نصب توجه کنید. اگر فهرست آن به‌طور غیرعادی طولانی بود از نصب آن اجتناب کنید.
• از راهکارهای امنیتی قدرتمند برای حفاظت از دستگاه‌های همراه خود یا سازمانتان استفاده کنید.

منبع : شبکه گستر