شیوه ی انتشار باج افزار جدید اندرویدی

باج افزار اندرویدی جدید با پیامک توزیع می‌شود

لینک فروش سوئیچ های سیسکو 

باج‌افزارهای مبتنی بر سیستم‌عامل موبایل روزبه‌روز پیشرفت می‌کنند و ابزارهای توزیع و نفوذ آن‌ها نیز با سرعت بالایی تغییر می‌کند.

محققان امنیتی ادعا می‌کنند که خانواده‌ی جدیدی از باج‌افزارهای اندرویدی با استفاده از پیامک بین کاربران توزیع می‌شوند. متخصصان امنیت سایبری ESET در جدیدترین گزارش خود، نتایج بررسی یک بدافزار اندرویدی به‌نام Android/Filecoder.C را منتشر کردند. انتشار اخبار جدید به نوعی یک نشانه برای پایان دو سال روند نزولی تشخیص بدافزارهای اندرویدی محسوب می‌شود.

بدافزار فایل‌کدر حداقل از ۱۲ ژوئیه ۲۰۱۹ فعال بوده است و از طریق پست‌های آلوده در انجمن‌های آنلاین توزیع می‌شود. از میان انجمن‌ها می‌توان به ردیت و فروم مشهور توسعه‌ی اندروید یعنی XDA Developers اشاره کرد. حجم عمده‌ای از پست‌های آلوده که کاربران را به دریافت بدافزار مذکور دعوت می‌کنند، موضوعاتی با محوریت هرزنگاری دارند. به‌علاوه، تحقیقات ESET می‌گوید که در اکثر آن‌ها از ابزار bit.ly برای تغییر آدرس بدافزار استفاده می‌شود.

به‌ محض اینکه فایل‌کدر در دستگاه اندرویدی قربانی نصب شود، به فهرست مخاطبان او دسترسی پیدا می‌کند. سپس پیام‌های متنی به‌صورت پیامک به کل فهرست ارسال می‌شود. لینک مخرب به‌صورت تبلیغی برای یک اپلیکیشن کاربردی ارسال می‌شود درحالی‌که به اپلیکیشنی مرتبط با بدافزار فایل‌کدر متصل خواهد بود. شایان ذکر است پیامک مخرب بسته به زبان دستگاه قربانی ارسال می‌شود و توانایی ارسال پیام به ۴۲ زبان را دارد. به‌علاوه نام مخاطب نیز در متن پیام درج می‌شود.

اگر قربانی روی لینک موجود در پیامک کلیک کند، بدافزار به‌صورت دستی نصب شده که عموما باز هم از محتوای هرزنگاری برای تبلیغ آن استفاده می‌شود. به‌ هر حال هدف نهایی از اپلیکیشن مخرب مذکور، اجرای آن در پس‌زمینه خواهد بود. اپلیکیشن شامل تنظیمات command-and-control یا C2 است که آدرس کیف‌های پول بیت کوین نیز درون آن قرار دارد. به‌علاوه ابزاری به‌نام Patebin در داخل کدهای بدافزار دیده می‌شود که برای اجرای فرایند Dynamic Retrieval کاربرد دارد.

فایل‌کدر پس از آنکه پیام‌های تبلیغاتی را برای فهرست مخاطبان ارسال کرد، به‌دنبال حافظه‌ی دستگاه می‌گردد و بخش اعظم آن را رمزنگاری می‌کند. از میان فایل‌هایی که توسط بدافزار رمزنگاری می‌شوند می‌توان به فایل‌های متنی و تصویر اشاره کرد. باج‌افزار مذکور توانایی دستکاری در فایل‌های اختصاصی اندروید همچون apk و dex را ندارد. محققان ESET اعتقاد دارند فرایند رمزنگاری به‌نوعی یک روند کپی و الصاق از WannaCry است. جهت یادآوری باید بدانید که واناکرای یکی بدافزارهای بسیار حرفه‌ای و مخرب است.

پس از رمزنگاری فایل‌های قربانی، پیامی مبنی بر درخواست وجه به او نمایش داده می‌شود. پیامی که باج به ارزش ۹۸ تا ۱۸۸ دلار را در فرم رمزارز درخواست می‌کند. در حال‌ حاضر هیچ گزارشی از پاک شدن فایل‌ها پس از دوره‌ی تهدیدی وجود ندارد. به‌علاوه باج‌افزار فعالیتی به‌صورت قفل کردن دستگاه یا متوقف کردن فعالیت آن انجام نمی‌دهد. البته اگر کاربر اپلیکیشن را حذف کند، فایل‌ها رمزگشایی نمی‌شوند. البته عدم رمزگشایی آن‌ها ربطی به تهدید مجرمان سایبری ندارد و دلیل اصلی آن، رمزنگاری ناقص است. به‌هرحال باز هم کاربر می‌تواند بدون پرداخت هزینه‌ی زیاد، فایل‌های خود را بازیابی کند.

فایل‌کدر در زمان رمزنگاری فایل‌های کاربر، یک کلید عمومی و یک کلید خصوصی ایجاد می‌کند. کلید خصوصی با استفاده از الگوریتم RSA رمزنگاری شده و برای مجرم سایبری (یا همان اپراتور C2) ارسال می‌شود. درنتیجه اگر قربانی هزینه‌ی درخواستی را پرداخت کند، هکر قابلیت رمزگشایی فایل‌ها را خواهد داشت.
متخصصان امنیت سایبری می‌گویند بدون پرداخت هزینه هم می‌توان فرایند رمزگشایی را با استفاده از کلید خصوصی انجام داد. آن‌ها ادعا می‌کنند که می‌توان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه ارائه می‌شود. به بیان دیگر متخصصان ESET علاوه بر تشخیص بدافزار جدید، راهکار عملی را هم برای آن ارائه کرده‌اند.

متخصصان ESET در متنی که مرتبط با بدافزار بالا منتشر کردند، درباره‌ی اثرگذاری آن نوشتند:

با توجه به هدف‌گیری محدود و ایراد در اجرا و همچنین پیاده‌سازی رمزنگاری، اثر این باج‌افزار محدود است. به‌هرحال اگر توسعه‌دهنده‌های آن ایرادات را برطرف کنند و جامعه‌ی هدف هم گسترده‌تر شود، احتمالا باج‌افزار Android/Filecoder.C به تهدیدی بزرگ‌تر بدل خواهد شد.

با توجه به توضیحاتی که پیرامون روش اجرا و توزیع بدافزار اندرویدی مطرح شد، باز هم اهمیت آگاهی کاربر برای جلوگیری از آلودگی مشخص می‌شود. اگر قربانیان پیامک‌های مخرب یا کاربران انجمن‌های آنلاین، در باز کردن لینک‌های تبلیغاتی و همچنین نرم‌افزارهای متفرقه احتیاط لازم را داشته باشند، قطعا اجرای فرایند باج‌گیری سایبری حتی شروع هم نخواهد شد.

اخبار ای تی، اخبار شبکه های کامپیوتری، شبکه های کامپیوتری، نصب و راه اندازی شبکه های کامپیوتری، پشتیبانی شبکه های کامپیوتری،پشتیبانی شبکه، شرکت پشتیبانی شبکه، قرارداد پشتیبانی شبکه، خدمات شبکه، راه اندازی شبکه، شرکت نصب و راه اندازی شبکه های کامپیوتری، نصب شبکه، راه اندازی شبکه، پشتیبانی شبکه، فروش سوئیچ سیسکو، سیسکو ریفر،  فروش سرور اچ پی، سرور اچ پی dl380، سرور اچ پی dl360، سرور رکمونت اچ پی، سرور HP، راه اندازی سرور اچ پی، فروش سرور HP، بهترین قیمت سرور اچ پی،کمترین قیمت سرور اچ پی، تجهیزات سرور اچ پی، هارد sas، هارد سرور اچ پی، رم سرور اچ پی، پاور سرور اچ پی، سوئیچ 2960 سیسکو،لینک فروش سوئیچ های سیسکو، سوئیچ سیسکو ریفر، قیمت سوئیچ سیسکو، قیمت سوئیچ سیسکو ریفر، قیمت سوئیچ سیسکو نیو،سیسکو، بهترین قیمت سوئیچ سیسکو، سوئیچ شبکه سیسکو، ماژول سیسکو، ماژول استک سیسکو، stack ماژول، sfp ماژول، اکتیو شبکه، پسیوشبکه، زیرساخت شبکه، کابل کشی شبکه، پیمانکار شبکه، فروش تجهیزات شبکه، سرور HPML30G10، قیمت سرورHPML30G10، سرور HPML110G9، قیمت سرورHPML110G9، فروش فایروال فورتی گیت، فروش فایروال فورتی نت، فروش فایروال فورتی وب، فروش فایروال FortiWeb400D، فروش محصولات FortiNet، فروش رک، فروش رک سرور، فروش رک دیواری، فروش رک ایستاده، رک سرور، رک ایستاده، رک دیواری