امنیت

January 3, 2024
0:39 چهارشنبه، 13ام دیماه 1402
کد خبر: 156524

شناسایی یک بدافزار جدید اندرویدی با نام Xamalicious

منبع: ماهر

اخیراً یک بدافزار جدید اندرویدی به نام Xamalicious کشف شده است که حدود 338،300 دستگاه را از طریق برنامه‌های مخرب در فروشگاه رسمی اندروید یعنی Google Play آلوده کرده است. شرکت McAfee همچنین 14 اپلیکیشن آلوده را در Google Play شناسایی کرده است، که سه مورد از آنها هر کدام بیش از 100،000 نصب داشته‌اند. هرچند که این اپلیکیشن‌ها از Google Play حذف شده‌اند، اما کاربرانی که آن‌ها را از میانه سال 2020 نصب کرده‌اند، ممکن است هنوز هم برنامه مخرب فعالی از Xamalicious در گوشی‌های خود داشته باشند که نیازمند اسکن و پاک‌سازی دستی است.

اپلیکیشن‌های آلوده به Xamalicious عبارتند از:
• Essential Horoscope for Android با بیش از 100،000 نصب
• 3D Skin Editor for PE Minecraft با بیش از 100،000 نصب
• Logo Maker Pro با بیش از 100،000 نصب
• Auto Click Repeater با 10،000 نصب
• Count Easy Calorie Calculator با 10،000 نصب
• Dots: One Line Connector با 10،000 نصب
• Sound Volume Extender با 5،000 نصب

همچنین یک مجموعه جداگانه شامل 12 اپلیکیشن مخرب آلوده به Xamalicious وجود دارد که آمار دانلود آن‌ها در دسترس نیست. این اپلیکیشن‌ها از طریق فروشگاه‌های غیررسمی اپلیکیشن به صورت فایل‌های APK قابل دانلود، کاربران را آلوده می‌کنند.
Xamalicious یک بدافزار اندرویدی مبتنی بر NET. است که به صورت جاسازی شده (به شکل ‘Core.dll’ و ‘GoogleService.dll’ ) در داخل برنامه‌های توسعه یافته با استفاده از چارچوب منبع باز Xamarin، قرار دارد که تجزیه و تحلیل کد آن را دشوارتر می‌کند.
این بدافزار پس از نفوذ به دستگاه آسیب‌دیده، سرویس دسترسی (Accessibility Service) را درخواست می‌دهد. این مجوز به این بدافزار اجازه انجام عملیات اختصاصی مانند مخفی کردن عناصر صفحه نمایش و اختصاص مجوزهای اضافی به خود را می‌دهد. همچنین، این دسترسی بالا به بدافزار این امکان را می‌دهد که فعالیت‌های مخرب متنوعی را در دستگاه آلوده انجام دهد.
در مرحله بعد، Xamalicious با سرور C2 (فرمان و کنترل) ارتباط برقرار کرده و در صورت تطابق با پیش‌نیازهای جغرافیایی، شبکه، تنظیمات دستگاه و وضعیت روت، دستورالعمل (DLL) مرحله دوم به نام ‘cache.bin’ را از سرور دریافت می‌کند.

بدافزار Xamalicious توانایی اجرای دستورات زیر را دارد:
• DevInfo : جمع‌آوری اطلاعات دستگاه و سخت‌افزار، شامل شناسه Android، برند، پردازنده، مدل، نسخه سیستم‌عامل، زبان، وضعیت گزینه‌های توسعه‌دهنده، جزئیات SIM و firmware.
• GeoInfo : تعیین مکان جغرافیایی دستگاه با استفاده از آدرس IP، جمع‌آوری نام ISP، سازمان، خدمات و یک امتیاز برای شناسایی کاربران غیرمجاز.
• EmuInfo : فهرست adbProperties برای اطمینان از اینکه مشتری یک دستگاه واقعی یا یک شبیه‌ساز است؛ بررسی پردازنده، حافظه، سنسورها، پیکربندی USB و وضعیت ADB.
• RootInfo : شناسایی اینکه دستگاه روت شده است یا خیر با استفاده از روش‌های مختلف و ارائه وضعیت روت.
• Packages : لیست کلیه برنامه‌های سیستمی و شخصی‌سازی شده نصب شده در دستگاه با استفاده از دستورات سیستم.
• Accessibility : گزارش وضعیت مجوزهای خدمات دسترسی.
• GetURL : درخواست پی‌لود مرحله دوم از سرور C2 با ارائه شناسه Android و دریافت وضعیت و احتمالاً یک DLL جمع‌آوری‌شده.

همچنین McAfee ارتباطاتی بین Xamalicious و یک اپلیکیشن مخرب تبلیغاتی به نام ‘Cash Magnet’ پیدا کرده است، که به صورت خودکار با کلیک بر روی تبلیغات، نرم‌افزارهای تبلیغاتی را در دستگاه قربانی نصب کرده و درآمدی برای اپراتورهایش ایجاد می‌کند.
بنابراین، احتمالاً Xamalicious هم عملیات مخرب در تبلیغات را روی دستگاه‌های آلوده انجام می‌دهد که می‌تواند کارایی پردازنده و پهنای باند شبکه را کاهش دهد.
هرچند Google Play از آپلود بدافزار مصون نیست، اما تلاش‌هایی جهت شناسایی و حذف تهدیدات جدیدی که در فروشگاه اپلیکیشن ظاهر می‌شوند، انجام می‌شود، که این امر در پلتفرم‌های غیررسمی و کمتر نظارت شده اتفاق نمی‌افتد.

توصیه‌های امنیتی
کاربران اندروید باید از دانلود اپلیکیشن‌ها از منابع ناشناخته خودداری کنند، خود را به اپلیکیشن‌های ضروری محدود کنند، قبل از نصب، نظرات کاربران را به دقت بخوانند، و یک بررسی کلی از توسعه‌دهنده/ناشر اپلیکیشن انجام دهند تا آلودگی به بدافزارها در دستگاه‌های تلفن همراه خود را به حداقل برسانند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.