شنبه، 02 اسفند 93 - 10:45

malware Android

بدافزار جدیدی توسط شرکت AVG کشف شده است؛ این بدافزار در بطن سیستم‌عامل اندروید نفوذ کرده و فرآیند خاموش کردن گوشی را دور می‌زند، سپس در حالی که به نظر می‌رسد گوشی خاموش است،  اطلاعات شخصی کاربران را جاسوسی می‌کند.

 این بدافزار دارای ویژگی‌های منحصربفرد سیستم‌عامل اندروید است؛ بدین معنی که می‌توانید فرآیند Shut down یا خاموش کردن گوشی هوشمند را در دست گرفته و در حالی که به نظر می‌رسد گوشی خاموش است، به عملیات جاسوسی اطلاعات می‌پردازد. این فرآیند PowerOffHijack نام دارد. به عبارت دیگر، زمانی که دکمه‌ی پاور را به منظور خاموش شدن گوشی نگه می‌دارید، درواقع گوشی خاموش نمی‌شود؛ در این صورت بدافزار در پشت پرده اجرا شده و دسترسی کل سیستم‌عامل را به دست می‌گیرد. به گزارش شرکت AVG، زمانی که دستگاه در این حالت قرار دارد، بدافزار قادر است تماس برقرار کرده یا عکس بگیرد، تمامی این فرآیندها بدون اطلاع کاربر صورت می‌گیرد.

نحوه‌ی عملکرد بدافزار PowerOffHijack به ترتیب مراحل زیر است:

  • ابتدا بدافزار مجوز دسترسی روت دستگاه را می‌گیرد.
  • بعد از به دست آوردن دسترسی روت، کدهای مخرب خود را در فرآیند system_server اعمال می‌کند، سپس شیِ mWindowManagerFuncs از سیستم‌عامل را جعل می‌کند.
  • در این مرحله، اگر دکمه‌ی پاور دستگاه را نگه دارید، صفحه‌ی تقلبی خاموش شدن گوشی نشان داده شده می‌شود. در این حالت صفحه کاملا خاموش شده اما گوشی در حال اجرا است.
  •  در آخر، برای نشان دادن خاموش بودن گوشی، برخی از فرآیندهای سیستم‌عامل نیز جعل می‌شوند.

بدافزار PowerOffHijack از کد زیر برای ضبط کردن تماس استفاده می‌کند:

AndroidMalware-one

از کد زیر هم برای انتقال پیام‌های خصوصی استفاده می‌کند:

AndroidMalware-two

AVG در خصوص این بدافزار گفت:

این بدافزار در نسخه‌های کمتر از ۵ اندروید نصب شده است و کاربرانی که گوشی آن‌ها روت نشده، در معرض این خطر قرار ندارند؛  با جدا کردن باتری، می‌توانید از خاموش بودن گوشی اطمینان حاصل کنید. تاکنون حدود ۱۰ هزار دستگاه به این بدافزار آلوده شده و بسیاری از این موارد در چین مشاهده شده است. بدافزار PowerOffHijack از طریق این کشور در حال گسترش بین کاربران و فروشگاه‌های اندرویدی است.

 متاسفانه کمپانی AVG جزئیات بیشتری از ان بدافزار در دسترس قرار داده است؛ هیچ توضیحی هم در خصوص نحوه‌ی کشف شدن این بدافزار و عملکرد آن نیز ارائه نکرده‌اند. اما کاملا واضح است که این بدافزار برای ربودن اطلاعات، به دسترسی روت دستگاه نیاز دارد. در واقع با گشت و گذار در اینترنت، گوشی به این بدافزار آلوده نمی‌شود. معمولا بسیاری از بدافزارها با نصب کردن نرم‌افزارها با منابع ناشناس، کنترل گوشی را به دست می‌گیرند. خوشبختانه این نوع بدافزارها در گوگل‌پلی وجود نداشته و از طریق SideLoading به گوشی انتقال می‌یابند. SideLoading به روشی گفته می‌شود که فایل‌های نصب نرم‌افزارها در فرمت APK، از طریق کابل یو‌اس‌بی، وای‌فای، بلوتوث و یا کارت حافطه، به گوشی انتقال داده و آن‌ها را نصب کنیم.

در دسترس نبودن گوگل‌پلی در کشور چین، دلیلی بر رسمی و معتبر بودن فروشگاه‌های دیگر اندروید نیست. در حال حاضر مشکلات نرم‌افزاری اندروید زیاد بوده و به نظر می‌رسد در مدت کوتاهی این مشکلات برطرف نشوند.

منبع

logo-samandehi