پژوهشگران امنیتی ابعادی از تروجان جدید اندرویدی را آشکار کردند که بهشدت در حال انتشار است و در پشت یک برنامه ضدویروس جعلی که Naver Defender است پنهان میشود و بهصورت پنهانی تماسهای تلفنی را ضبط میکند و اطلاعات خصوصی را سرقت میکند.
این بدافزار که KevDroid نام دارد یک ابزار مدیریتی از راه دور است که بهمنظور دزدیدن اطلاعات حساس از وسایل اندرویدی مورداستفاده قرار میگیرد که همچنین قابلیت ضبط مکالمات تلفنی را نیز داراست.
پژوهشگران Talos اخیراً جزئیات فنی مرتبط با دو بعد جدید KevDroid را منتشر کردند که به کشف تروجان شرکت مرتبط با امنیت سایبری کره جنوبی به نام ESTsecurity منجر گردید. اگرچه پژوهشگران این بدافزار را به هیچ گروه هکر یا تحت حمایت دولتی نسبت ندادند ولی رسانههای کره جنوبی بدافزار KevDroid را به گروه هک Group۱۲۳ کره شمالی ارتباط دادند که عمدتاً به علت هدف قرار دادن مواضع کره جنوبی شناختهشده است.
جدیدترین نسخه بدافزار KevDroid در ماه مارس امسال شناخته شد که دارای قابلیتهای زیر است:
– ضبط صداها و مکالمات تلفنی
– سرقت فایلها و تاریخچه وب
– گرفتن دسترسی به ریشه
– سرقت اطلاعات، پیامکها و ایمیلها
– به دست آوردن مکان وسایل در هر ۱۰ ثانیه
– به دست آوردن لیست برنامههای نصبشده
بر اساس اطلاعات سایت پلیس فتا، این بدافزار همچنین از یک کتابخانه منبع باز استفاده میکند که در GitHub قابلدسترسی است و قابلیت ثبت تماسهای ورودی و خروجی را از وسایل اندرویدی دارد.
اگرچه هر دو بدافزار قابلیتهای یکسانی در ارتباط با سرقت اطلاعات وسایل و ضبط تماسهای شخص قربانی دارند ولی یک جنبه مهم این است که یک نقص اندرویدی (CVE-۲۰۱۵-۳۶۳۶) آشکارشده است که بهوسیله آن میتوان به ریشه وسایل دسترسی پیدا کرد.
تمام اطلاعات سرقت شده به یک دستور کنترلشده توسط مهاجم و سرور ارسال میشوند که بر روی فضای PubNub global Data Stream Network قرار دارد و از http post استفاده میکند.
Talos ادعا میکند: اگر شخص مهاجم در به دست آوردن برخی اطلاعات موفق باشد KevDroid میتواند در چند حوزه از قربانی اطلاعات جمعآوری کند و این موضوع به نشت اطلاعات منجر میگردد که خود باعث بروز مسائلی از قبیل ربودن فرد موردعلاقه، تهدید توسط عکسها یا اطلاعات محرمانه، برداشت اطلاعات کاربری، دسترسی به توکنهای چند کاربره، پیامدهای مالی-بانکی و دسترسی به اطلاعات طبقهبندیشده شوند که همگی میتوانند توسط ایمیل-متن صورت پذیرند.
بسیاری از کاربران از طریق وسایل موبایلی به ایمیلهای شرکتی خود دسترسی دارند. این موضوع میتواند یک شکاف بهمنظور بهرهبرداری توسط KevDroid باشد. محققان آشکار کردند که یک RAT دیگر بهمنظور هدف قرار دادن کاربران ویندوز طراحیشده است که یک سرور C&C را به اشتراک میگذارد و همچنین از PubNub API بهمنظور ارسال دستورات به وسایل استفاده میکند.
چگونه گوشی هوشمند خود را ایمن نگاه دارید
توصیهشده است که کاربران اندروید بهصورت منظم برنامههای نصبشده بر روی وسایل خود را بررسی کنند تا برنامههای غیرضروری، ناشناخته و بدافزار را که بدون آگاهی یا رضایت کاربر در لیست قرار دارند پیداکرده و حذف کنند.
چنین بدافزار اندرویدی ممکن است بهمنظور هدف قرار دادن وسایل شما مورد استفاده قرار گیرد. اگر شما صاحب یک وسیله اندرویدی هستید اکیداً توصیه میشود مراحل زیر را دنبال کنید تا چنین مشکلی برای شما رخ ندهد:
– هرگز برنامهها را از فروشگاههای دسته سوم خریداری نکنید.
– مطمئن شوید که Google Play Protect را انتخاب کردهاید.
– قابلیت «تأیید برنامهها» را از بخش تنظیمات فعال نمایید.
– منابع ناشناس را تا زمانی که مورداستفاده قرار نگرفتهاند غیرفعال نگهدارید.
– نرمافزار امنیتی و آنتیویروس را از طریق یک فروشگاه معتبر نصب کنید.
– بهصورت منظم از موبایل خود فایلهای پشتیبانی تهیه کنید.
– همیشه از یک برنامه رمزگذاری شده برای حفاظت از اطلاعات حساس بر روی گوشی خود استفاده کنید.
– هرگز فایلهایی را که نیاز ندارید را باز نکنید حتی اگر از طرف کسانی باشد که شما میشناسید.
– از پین یا رمز عبور بهمنظور حفاظت از وسایلتان استفاده کنید تا کسی نتواند بدون اجازه به وسایلتان دسترسی پیدا کند.
– وسایل خود را همواره با آخرین افزونههای امنیتی بهروز نگهدارید.