سیستم‌عامل و نرم‌افزار

فناوری اطلاعات

August 1, 2019
15:49 پنجشنبه، 10ام مردادماه 1398
کد خبر: 101472

توزیع باج افزار اندرویدی جدید با پیامک

 
محققان امنیتی ادعا می‌کنند که خانواده‌ی جدیدی از باج‌افزارهای اندرویدی با استفاده از پیامک بین کاربران توزیع می‌شوند. متخصصان امنیت سایبری ESET در جدیدترین گزارش خود، نتایج بررسی یک بدافزار اندرویدی به‌نام Android/Filecoder.C را منتشر کردند. انتشار اخبار جدید به نوعی یک نشانه برای پایان دو سال روند نزولی تشخیص بدافزارهای اندرویدی محسوب می‌شود.
 
بدافزار فایل‌کدر حداقل از ۱۲ ژوئیه ۲۰۱۹ فعال بوده است و از طریق پست‌های آلوده در انجمن‌های آنلاین توزیع می‌شود. از میان انجمن‌ها می‌توان به ردیت و فروم مشهور توسعه‌ی اندروید یعنی XDA Developers اشاره کرد. حجم عمده‌ای از پست‌های آلوده که کاربران را به دریافت بدافزار مذکور دعوت می‌کنند، موضوعاتی با محوریت هرزنگاری دارند. به‌علاوه، تحقیقات ESET می‌گوید که در اکثر آن‌ها از ابزار bit.ly برای تغییر آدرس بدافزار استفاده می‌شود.
 
به‌ محض اینکه فایل‌کدر در دستگاه اندرویدی قربانی نصب شود، به فهرست مخاطبان او دسترسی پیدا می‌کند. سپس پیام‌های متنی به‌صورت پیامک به کل فهرست ارسال می‌شود. لینک مخرب به‌صورت تبلیغی برای یک اپلیکیشن کاربردی ارسال می‌شود درحالی‌که به اپلیکیشنی مرتبط با بدافزار فایل‌کدر متصل خواهد بود. شایان ذکر است پیامک مخرب بسته به زبان دستگاه قربانی ارسال می‌شود و توانایی ارسال پیام به ۴۲ زبان را دارد. به‌علاوه نام مخاطب نیز در متن پیام درج می‌شود.
 
اگر قربانی روی لینک موجود در پیامک کلیک کند، بدافزار به‌صورت دستی نصب شده که عموما باز هم از محتوای هرزنگاری برای تبلیغ آن استفاده می‌شود. به‌ هر حال هدف نهایی از اپلیکیشن مخرب مذکور، اجرای آن در پس‌زمینه خواهد بود. اپلیکیشن شامل تنظیمات command-and-control یا C2 است که آدرس کیف‌های پول بیت کوین نیز درون آن قرار دارد. به‌علاوه ابزاری به‌نام Patebin در داخل کدهای بدافزار دیده می‌شود که برای اجرای فرایند Dynamic Retrieval کاربرد دارد.
 
 
فایل‌کدر پس از آنکه پیام‌های تبلیغاتی را برای فهرست مخاطبان ارسال کرد، به‌دنبال حافظه‌ی دستگاه می‌گردد و بخش اعظم آن را رمزنگاری می‌کند. از میان فایل‌هایی که توسط بدافزار رمزنگاری می‌شوند می‌توان به فایل‌های متنی و تصویر اشاره کرد. باج‌افزار مذکور توانایی دستکاری در فایل‌های اختصاصی اندروید همچون apk و dex را ندارد. محققان ESET اعتقاد دارند فرایند رمزنگاری به‌نوعی یک روند کپی و الصاق از WannaCry است. جهت یادآوری باید بدانید که واناکرای یکی بدافزارهای بسیار حرفه‌ای و مخرب است.
 
اثرگذاری باج‌افزار جدید هنوز آن‌چنان زیاد نیست
پس از رمزنگاری فایل‌های قربانی، پیامی مبنی بر درخواست وجه به او نمایش داده می‌شود. پیامی که باج به ارزش ۹۸ تا ۱۸۸ دلار را در فرم رمزارز درخواست می‌کند. در حال‌ حاضر هیچ گزارشی از پاک شدن فایل‌ها پس از دوره‌ی تهدیدی وجود ندارد. به‌علاوه باج‌افزار فعالیتی به‌صورت قفل کردن دستگاه یا متوقف کردن فعالیت آن انجام نمی‌دهد. البته اگر کاربر اپلیکیشن را حذف کند، فایل‌ها رمزگشایی نمی‌شوند. البته عدم رمزگشایی آن‌ها ربطی به تهدید مجرمان سایبری ندارد و دلیل اصلی آن، رمزنگاری ناقص است. به‌هرحال باز هم کاربر می‌تواند بدون پرداخت هزینه‌ی زیاد، فایل‌های خود را بازیابی کند.
 
فایل‌کدر در زمان رمزنگاری فایل‌های کاربر، یک کلید عمومی و یک کلید خصوصی ایجاد می‌کند. کلید خصوصی با استفاده از الگوریتم RSA رمزنگاری شده و برای مجرم سایبری (یا همان اپراتور C2) ارسال می‌شود. درنتیجه اگر قربانی هزینه‌ی درخواستی را پرداخت کند، هکر قابلیت رمزگشایی فایل‌ها را خواهد داشت.
 
متخصصان امنیت سایبری می‌گویند بدون پرداخت هزینه هم می‌توان فرایند رمزگشایی را با استفاده از کلید خصوصی انجام داد. آن‌ها ادعا می‌کنند که می‌توان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه ارائه می‌شود. به بیان دیگر متخصصان ESET علاوه بر تشخیص بدافزار جدید، راهکار عملی را هم برای آن ارائه کرده‌اند.
 
متخصصان ESET در متنی که مرتبط با بدافزار بالا منتشر کردند، درباره‌ی اثرگذاری آن نوشتند:
با توجه به هدف‌گیری محدود و ایراد در اجرا و همچنین پیاده‌سازی رمزنگاری، اثر این باج‌افزار محدود است. به‌هرحال اگر توسعه‌دهنده‌های آن ایرادات را برطرف کنند و جامعه‌ی هدف هم گسترده‌تر شود، احتمالا باج‌افزار Android/Filecoder.C به تهدیدی بزرگ‌تر بدل خواهد شد.
 
با توجه به توضیحاتی که پیرامون روش اجرا و توزیع بدافزار اندرویدی مطرح شد، باز هم اهمیت آگاهی کاربر برای جلوگیری از آلودگی مشخص می‌شود. اگر قربانیان پیامک‌های مخرب یا کاربران انجمن‌های آنلاین، در باز کردن لینک‌های تبلیغاتی و همچنین نرم‌افزارهای متفرقه احتیاط لازم را داشته باشند، قطعا اجرای فرایند باج‌گیری سایبری حتی شروع هم نخواهد شد.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.