1398-05-11
اخبار
بازدید : 789
شیوه ی انتشار باج افزار جدید اندرویدی
باج افزار اندرویدی جدید با پیامک توزیع میشود
باجافزارهای مبتنی بر سیستمعامل موبایل روزبهروز پیشرفت میکنند و ابزارهای توزیع و نفوذ آنها نیز با سرعت بالایی تغییر میکند.
محققان امنیتی ادعا میکنند که خانوادهی جدیدی از باجافزارهای اندرویدی با استفاده از پیامک بین کاربران توزیع میشوند. متخصصان امنیت سایبری ESET در جدیدترین گزارش خود، نتایج بررسی یک بدافزار اندرویدی بهنام Android/Filecoder.C را منتشر کردند. انتشار اخبار جدید به نوعی یک نشانه برای پایان دو سال روند نزولی تشخیص بدافزارهای اندرویدی محسوب میشود.
بدافزار فایلکدر حداقل از ۱۲ ژوئیه ۲۰۱۹ فعال بوده است و از طریق پستهای آلوده در انجمنهای آنلاین توزیع میشود. از میان انجمنها میتوان به ردیت و فروم مشهور توسعهی اندروید یعنی XDA Developers اشاره کرد. حجم عمدهای از پستهای آلوده که کاربران را به دریافت بدافزار مذکور دعوت میکنند، موضوعاتی با محوریت هرزنگاری دارند. بهعلاوه، تحقیقات ESET میگوید که در اکثر آنها از ابزار bit.ly برای تغییر آدرس بدافزار استفاده میشود.
به محض اینکه فایلکدر در دستگاه اندرویدی قربانی نصب شود، به فهرست مخاطبان او دسترسی پیدا میکند. سپس پیامهای متنی بهصورت پیامک به کل فهرست ارسال میشود. لینک مخرب بهصورت تبلیغی برای یک اپلیکیشن کاربردی ارسال میشود درحالیکه به اپلیکیشنی مرتبط با بدافزار فایلکدر متصل خواهد بود. شایان ذکر است پیامک مخرب بسته به زبان دستگاه قربانی ارسال میشود و توانایی ارسال پیام به ۴۲ زبان را دارد. بهعلاوه نام مخاطب نیز در متن پیام درج میشود.
اگر قربانی روی لینک موجود در پیامک کلیک کند، بدافزار بهصورت دستی نصب شده که عموما باز هم از محتوای هرزنگاری برای تبلیغ آن استفاده میشود. به هر حال هدف نهایی از اپلیکیشن مخرب مذکور، اجرای آن در پسزمینه خواهد بود. اپلیکیشن شامل تنظیمات command-and-control یا C2 است که آدرس کیفهای پول بیت کوین نیز درون آن قرار دارد. بهعلاوه ابزاری بهنام Patebin در داخل کدهای بدافزار دیده میشود که برای اجرای فرایند Dynamic Retrieval کاربرد دارد.
فایلکدر پس از آنکه پیامهای تبلیغاتی را برای فهرست مخاطبان ارسال کرد، بهدنبال حافظهی دستگاه میگردد و بخش اعظم آن را رمزنگاری میکند. از میان فایلهایی که توسط بدافزار رمزنگاری میشوند میتوان به فایلهای متنی و تصویر اشاره کرد. باجافزار مذکور توانایی دستکاری در فایلهای اختصاصی اندروید همچون apk و dex را ندارد. محققان ESET اعتقاد دارند فرایند رمزنگاری بهنوعی یک روند کپی و الصاق از WannaCry است. جهت یادآوری باید بدانید که واناکرای یکی بدافزارهای بسیار حرفهای و مخرب است.
پس از رمزنگاری فایلهای قربانی، پیامی مبنی بر درخواست وجه به او نمایش داده میشود. پیامی که باج به ارزش ۹۸ تا ۱۸۸ دلار را در فرم رمزارز درخواست میکند. در حال حاضر هیچ گزارشی از پاک شدن فایلها پس از دورهی تهدیدی وجود ندارد. بهعلاوه باجافزار فعالیتی بهصورت قفل کردن دستگاه یا متوقف کردن فعالیت آن انجام نمیدهد. البته اگر کاربر اپلیکیشن را حذف کند، فایلها رمزگشایی نمیشوند. البته عدم رمزگشایی آنها ربطی به تهدید مجرمان سایبری ندارد و دلیل اصلی آن، رمزنگاری ناقص است. بههرحال باز هم کاربر میتواند بدون پرداخت هزینهی زیاد، فایلهای خود را بازیابی کند.
فایلکدر در زمان رمزنگاری فایلهای کاربر، یک کلید عمومی و یک کلید خصوصی ایجاد میکند. کلید خصوصی با استفاده از الگوریتم RSA رمزنگاری شده و برای مجرم سایبری (یا همان اپراتور C2) ارسال میشود. درنتیجه اگر قربانی هزینهی درخواستی را پرداخت کند، هکر قابلیت رمزگشایی فایلها را خواهد داشت.
متخصصان امنیت سایبری میگویند بدون پرداخت هزینه هم میتوان فرایند رمزگشایی را با استفاده از کلید خصوصی انجام داد. آنها ادعا میکنند که میتوان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه ارائه میشود. به بیان دیگر متخصصان ESET علاوه بر تشخیص بدافزار جدید، راهکار عملی را هم برای آن ارائه کردهاند.
متخصصان ESET در متنی که مرتبط با بدافزار بالا منتشر کردند، دربارهی اثرگذاری آن نوشتند:
با توجه به هدفگیری محدود و ایراد در اجرا و همچنین پیادهسازی رمزنگاری، اثر این باجافزار محدود است. بههرحال اگر توسعهدهندههای آن ایرادات را برطرف کنند و جامعهی هدف هم گستردهتر شود، احتمالا باجافزار Android/Filecoder.C به تهدیدی بزرگتر بدل خواهد شد.
با توجه به توضیحاتی که پیرامون روش اجرا و توزیع بدافزار اندرویدی مطرح شد، باز هم اهمیت آگاهی کاربر برای جلوگیری از آلودگی مشخص میشود. اگر قربانیان پیامکهای مخرب یا کاربران انجمنهای آنلاین، در باز کردن لینکهای تبلیغاتی و همچنین نرمافزارهای متفرقه احتیاط لازم را داشته باشند، قطعا اجرای فرایند باجگیری سایبری حتی شروع هم نخواهد شد.
اخبار ای تی، اخبار شبکه های کامپیوتری، شبکه های کامپیوتری، نصب و راه اندازی شبکه های کامپیوتری، پشتیبانی شبکه های کامپیوتری،پشتیبانی شبکه، شرکت پشتیبانی شبکه، قرارداد پشتیبانی شبکه، خدمات شبکه، راه اندازی شبکه، شرکت نصب و راه اندازی شبکه های کامپیوتری، نصب شبکه، راه اندازی شبکه، پشتیبانی شبکه، فروش سوئیچ سیسکو، سیسکو ریفر، فروش سرور اچ پی، سرور اچ پی dl380، سرور اچ پی dl360، سرور رکمونت اچ پی، سرور HP، راه اندازی سرور اچ پی، فروش سرور HP، بهترین قیمت سرور اچ پی،کمترین قیمت سرور اچ پی، تجهیزات سرور اچ پی، هارد sas، هارد سرور اچ پی، رم سرور اچ پی، پاور سرور اچ پی، سوئیچ 2960 سیسکو،لینک فروش سوئیچ های سیسکو، سوئیچ سیسکو ریفر، قیمت سوئیچ سیسکو، قیمت سوئیچ سیسکو ریفر، قیمت سوئیچ سیسکو نیو،سیسکو، بهترین قیمت سوئیچ سیسکو، سوئیچ شبکه سیسکو، ماژول سیسکو، ماژول استک سیسکو، stack ماژول، sfp ماژول، اکتیو شبکه، پسیوشبکه، زیرساخت شبکه، کابل کشی شبکه، پیمانکار شبکه، فروش تجهیزات شبکه، سرور HPML30G10، قیمت سرورHPML30G10، سرور HPML110G9، قیمت سرورHPML110G9، فروش فایروال فورتی گیت، فروش فایروال فورتی نت، فروش فایروال فورتی وب، فروش فایروال FortiWeb400D، فروش محصولات FortiNet، فروش رک، فروش رک سرور، فروش رک دیواری، فروش رک ایستاده، رک سرور، رک ایستاده، رک دیواری
خدمات شبکه , نصب و راه اندازی شبکه , سرور , پشتیبانی شبکه , راه اندازی شبکه , اجرای شبکه , فروش تجهیزات شبکه , قرارداد پشتیبانی شبکه , راه اندازی اتاق سرور , راه اندازی سرور روم , اجرای زیرساخت شبکه ,