آفریقا جولانگاه بدافزار گوشی چینی در بحران کرونا
با شیوع کووید 19 در جهان بیشتر مردم جهان به خرید آنلاین و پرداختهای موبایلی روی آوردند تا میزان ترددهای غیرضروری کاهش یابد و به رعایت فاصله اجتماعی کمک شود. این موضوع در کشورهای آفریقایی از اهمیت بیشتری برخوردار شده تا جایی که اپراتورها بهدنبال ارائه راهکارهای امنتر برای پرداختهای موبایلی در این قاره هستند. اما خبری که چندی پیش درباره آلوده بودن پرفروشترین گوشی هوشمند در آفریقا یعنی برند چینی«تکنو»(Tecno) به بدافزارها منتشر شد، برخی کاربران را نسبت به پرداختهای موبایلی دچار تردید کرده است و بسیاری آن را زنگ خطری برای مدیریت بحران کرونا در این کشورهای عمدتاً فقیرنشین میدانند.
گوشی آلوده در 19کشور جهان
به دنبال شکایت تعداد زیادی از کاربران آفریقایی درباره عضویت در سرویسهای مختلف پولی بدون اطلاع آنها و برداشت مبالغی از حسابهای بانکی یا کیفهای پول دیجیتال آنها، موضوع در دستور کار پلتفرم ضد جاسوسی و کلاهبرداری Secure-D از زیرمجموعههای Upstream قرار گرفت و گزارش نهایی، پرده از رازی بزرگ برداشت. در این گزارش عنوان شد که در برخی گوشیهای ارزان قیمت Tecno W3 محصول هلدینگ Transsion، بدافزارهایی بهصورت پیش فرض نصب شده است که کاربر هیچ اطلاعی از آنها ندارد و به محض اتصال به اینترنت، تراکنشهایی بدون اطلاع کاربر انجام شده و با ثبتنام در سرویسهای پولی، از فرد سرقتهایی انجام میگیرد.
در گزارشSecure-D آمده است بین ماههای مارس و دسامبر 2019، تکنولوژی این پلتفرم 844هزار تراکنش مرتبط با بدافزارهای از پیش نصب شده روی برخی از گوشیهای Transsion را مسدود کرده است. همچنین درمجموع بین ماههای مارس 2019 تا اوت 2020 حدود 19.2میلیون ثبتنام مشکوک از بیش از 200هزار گوشی در 19کشور آفریقایی مسدود شده است. البته فعالیت بدافزارها روی گوشیهایی که به دام این پلتفرم نیفتادهاند همچنان ادامه دارد.این گوشیها در اتیوپی، کامرون، مصر، غنا و آفریقای جنوبی فعال بودهاند و تاکنون شکایتهای زیادی دراین باره انجام شده است.
پلتفرم ضد جاسوسی و کلاهبرداری Secure-D در گزارش خود آورده است تعداد زیادی از تلفنهای هوشمند ارزان قیمت ساخت این تولیدکننده چینی به یک تروجان اندرویدی با نام xHelper آلوده هستند و تراکنشهایی را بدون اجازه کاربران انجام میدهند. بیشتر این تراکنشها توسط خانوادهای از اپلیکیشنها که com.mufc نامیده میشوند صورت میگیرد که منبع آنها کاملاً نامشخص است و نمیتوان آن را از هیچ اپ استور اندرویدی دانلود کرد.
درواقع بدون اطلاع کاربر، وی در برخی سرویسها ثبتنام میشود و در موقعیت مناسب به کیف دیجیتال یا حساب بانکی وی دستبرد زده میشود به بیان دیگر بدون اطلاع وی، تراکنشهایی ازطریق گوشی اش انجام میگیرد.
این تروجانهای سمج
اما Secure-Dچگونه متوجه این بدافزارها شد و اصولاً این بدافزارها چگونه عمل میکنند؟ Secure-D با مشاهده تعداد بالای معاملات مشکوک، مجموعهای از تلفنهای همراه جدید Tecno W2 و دستگاههای خریداری شده کاربران واقعی را مورد بررسی قرار داد.
نتیجه این تحقیقات نشان داد گوشیهای Tecno W2 به بدافزار Triada آلوده هستند. Triada یک بدافزار محبوب در میان مجرمان سایبری محسوب میشود که بهعنوان نرم افزار در پشتی(backdoor) و همچنین ابزاری برای راحتتر دانلود کردن بدافزارهای دیگر روی سیستمها کار میکند. هکرها از این بدافزار استقبال زیادی دارند چراکه از راه دور میتوانند سیستم آلوده را هدایت کنند بدون این که شناسایی شوند. این بدافزار درواقع پس از دریافت دستورالعمل از راه دور، قبل از پنهان کردن خود در لایههای داخلی سیستم، از امتیازات سطح بالای دستگاه برای اجرای کد مخرب دلخواه استفاده میکند تا از شناسایی شدن، جلوگیری کند.
این گروه در طول تحقیقات خود مشاهده کردند با اتصال گوشیهای Tecno W2 به اینترنت، بدافزار Triada یک تروجان با نام xHelper را دانلود میکند که این تروجان در برابر ریبوت کردن، حذف اپلیکیشن و حتی ریست فکتوری(بازگشت به حالت کارخانه) هم مقاوم است و ازبین نمیرود به همین دلیل هم مقابله با این بدافزار و از بین بردن آن، حتی برای افراد حرفهای نیز سخت است پس کاربران عادی تلفن همراه مشکلاتشان صدها برابر است.
Secure-D همچنین دریافت وقتی xHelper به شبکه اینترنت متصل میشود فرصت را مهیا میبیند و بدون اطلاع کاربر درخواستهای جعلی ارسال میکند و ازآنجا که این درخواستها نامرئی هستند و بهصورت اتومات انجام میشوند کاربر متوجه موضوع نمیشود و تنها با دریافت پیامک حاکی از برداشت از حسابش متوجه این موضوع میشود.
«تکنو» پرفروشترین گوشی در آفریقا
اما دامنه فعالیت هلدینگ Transsion چقدر است و این بدافزار در چه نقاطی از جهان میتواند خودنمایی کند؟ این هلدینگ درحال حاضر در 38کشور آفریقایی و نیز هند و بنگلادش فعال است و البته در پاکستان نیز حضور دارد. اطلاعات مؤسسه پژوهشی IDC نشان میدهد کمپانی Transsion در سال گذشته با سهم 64درصدی گوشیهای معمولی و 36.2درصدی بازار تلفنهای هوشمند در مقایسه با سهم 25درصدی سامسونگ، بازیگر اصلی در بازار آفریقا بوده است. این برند با ارائه گوشیهای ارزان قیمت، سامسونگ و اپل را در بازار آفریقا پشت سر گذاشته و بیش از نیمی از گوشیهای فروخته شده این برند در آفریقا قیمتی کمتر از 100دلار داشتهاند.
با وجود تأثیر کرونا بر اقتصاد جهان هلدینگ Transsion واقع در شنزن چین از رشد 33درصدی سود خالص خود در نیمه نخست سال 2020 خبر میدهد. این کمپانی رشد فروش 32درصدی فروش تلفن همراه در سه ماهه دوم سال 2020 داشته و بیشتر بخشهای کم درآمد یا با درآمد متوسط را در بازار تلفن آفریقا جذب کرده است. اما این سود در سایه گزارشهایی نگران کننده از این که دهها هزار تلفن هوشمند همراه با بدافزار به فروش میرسند و کاربر بدون هیچ اطلاعی به عضویت سرویسهای پولی درمی آید در هاله تردید قرار دارد.این برند با وجود رسوایی اخیر اعلام کرده که در حال ارتقای دوربین گوشیهای ارزان قیمت خود است.
واکنشها به گوشیهای آلوده
با توجه به احتمال ریزش مشتریان برند تکنو در آفریقا، سخنگوی هلدینگ Transsionگفت: این خطا توسط یکی از فروشندگان زنجیره تأمین رخ داده و تنها تعداد کمی از این گوشیها به بدافزار آلوده شدهاند. ما یک وصله امنیتی ارائه دادهایم که کاربران با دانلود و نصب آن میتوانند بدون نگرانی و دغدغه، مشکل را حل کنند. با اینکه Transsionگفته این بدافزار قابل رفع است اما گزارشهای کسپرسکی و Secure-D حکایت دیگری دارند و معلوم نیست آلودگی به تروجان چه تأثیری بر بازار این برند در آفریقا خواهد گذاشت.
کسپرسکی در گزارشی آورده است: تروجان xHelper فعال روی گوشیهای اندرویدی چینی ارزان قیمت، تغییر چهره میدهد و خود را بهعنوان اپلیکیشنی جا میزند که برای ارتقای عملکرد گوشی به پاکسازی فضای گوشی میپردازد و پس از فریب دادن کاربر کار خود را آغاز میکند و کاربر دیگر براحتی نمیتواند از آن خلاص شود. این تروجان به جمعآوری اطلاعات گوشی میپردازد و با دانلود تروجانهای بعدی، کار را سختتر و سختتر میکند. همه این تروجانهای دانلود شده در عمق فایلهای سیستمی پنهان میشوند که این کار پیدا کردن آنها را بسیار سخت میکند. به هرحال استفاده از گوشی آلوده شده به xHelper بسیار خطرناک است و هر لحظه میتواند با در پشتی که ایجاد کرده گوشی را با بدافزارهای دیگری ازجمله CookieThief آلوده کند و دردسرها ادامه دار شوند. کسپرسکی ادعای هلدینگ Transsion مبنی بر حل شدن مشکل بدافزارها را نادرست میداند.
گفتنی است هلدینگ Transsion دو برند دیگر تلفن همراه با نامهای Itel و Infinix هم تولید کرده است که گوشیهای ارزان قیمتی محسوب میشوند. تکنو و Infinix در هندوستان محبوب هستند اما بازار عظیم آنها آفریقاست. Secure-D پیش از این نیز درباره آلوده بودن گوشیهای آلکاتل از کمپانی TCL به بدافزار هشدار داده بود که البته این گوشیهای ارزان قیمت در برزیل و میانمار برای کاربران دردسرساز شدند. حال باید منتظر ماند و دید آیا این گوشیهای آلوده میتوانند وضعیت کرونا را در آفریقا بدتر کنند یا این که هلدینگ Transsion حریف بدافزارها میشود و آنها را ریشه کن میکند؛ موضوعی که مؤسسات سایبری به آن امید چندانی ندارند.