گوشی‎های اندرویدی پیش از عرضه به بازار ویروسی هستند!

محققان گوگل در جدیدترین نتایج خود اعلام کردند مجرمان اینترنتی در سال 2017 موفق شده‎اند یک درپشتی پیشرفته روی دستگاه‎های اندروید پیش از عرضه به بازار نصب کنند.

اولین بار نام ویروس تریادا (Triada) در سال 2016 در مقالاتی که شرکت امنیتی کسپراسکای منتشر کرد مطرح شد و براساس اعلام این شرکت این بدافزار «یکی از پیشرفته‎ترین تروجان‎های موبایل» بوده است که تحلیل‎گران این شرکت امنیتی تا حالا با آن روبرو شدند.

زمانی که تریادا نصب شود، هدف اصلی آن نصب اپلیکیشن‎هایی است که برای فرستادن اسپم و نشان دادن تبلیغات استفاده می‎شوند.

این تروجان از یک جعبه ابزار قابل توجه استفاده می‎کند از جمله اکسپلویت‎های روت که از حفاظت‎های امنیتی داخلی اندروید عبور می‎کند و راهکارهایی برای تغییر فرآیند کاملا قدرتمند سیستم‎ عامل اندروید یعنی Zygote.

به عبارت دیگر این بدافزار می‎تواند مستقیما در هر اپلیکیشن نصب‎شده‎ای دخالت کند. تریادا همچنین به بیش از 17 سرور کنترل و فرمان متصل است.

در ماه جولای سال 2017، شرکت امنیتی دکتر وب گزارش داد که محققان این شرکت موفق به کشف ترایادا در فریم‎ویر چندین دستگاه اندرویدی از جمله Leagoo M5 Plus، Leagoo M8، Nomu S10 و Nomu S20 شده‎اند.

هکرها از تکنیک درپشتی برای دانلود و نصب مخفیانه ماژول‎ها استفاده کردند. به گفته این گزارش چون در پشتی داخل یکی از کتابخانه‎های سیستم عامل اندروید جا گرفته بود و در قسمت سیستمی وجود داشت، امکان حذف آن با استفاده از روش‎های استاندارد نبود.

ماه پیش، گوگل گزارش دکتر وب را تایید کرد، گرچه نامی از شرکت‎ها نبرد. گزارش گوگل همچنین اعلام کرد که حمله زنجیره تامین توسط یک یا بیشتر از شرکای برندهای تولیدکننده گوشی‎های هوشمند انجام شده است و برای این کار توسط ایمیج فریم‎ویر نهایی دستگاه‎ها را آلوده کردند.

Lukasz Siewierski، یکی از اعضای تیم حریم خصوصی و امنیت اندروید گوگل اعلام کرد:

«تریادا ایمیج‎های سیستمی دستگاه را از طریق یک شخص ثالث در طول فرآیند تولید آلوده می‎کند. گاهی اوقات شرکت‎ها می‎خواهند قابلیتی را در گوشی خود لحاظ کنند که بخشی از پروژه متن باز اندروید نیست، مانند توانایی بازکردن گوشی با اسکن چهره.

شرکت تولیدکننده گوشی همراه ممکن است با یک شرکت شخص ثالث برای طراحی قابلیت مورد نظر خود همکاری کند و کل ایمیج سیستمی را برای آن‎ها بفرستد.

ما براساس تحلیل‎ها اعتقاد داریم این شرکت شخص ثالث با استفاده از نام Yehuo یا Blazefire ایمیج سیستمی را آلوده به تریادا برگردانده است.»

در گزارش گوگل همچنین اشاره‎ای به تحلیل‎های قبلی قابلیت‎هایی شده است که تریادا را بسیار پیچیده کرده‎اند. به عنوان مثال، این ویروس از انکودینگ XOR و فایل‎های زیپ برای رمزنگاری ارتباط‎ها استفاده می‎کند.

همچنین، یک کد را داخل اپلیکیشن رابط کاربری سیستم تزریق می‎کند که اجازه به نمایش تبلیغات می‎دهد. در پشتی همچنین با تزریق یک کد دیگر می‎تواند از اپلیکیشن گوگل‎پلی برای دانلود و نصب اپلیکیشن دلخواه مهاجم استفاده کند.

Siewierski گفت «این اپلیکیشن‎ها از سرور C&C دانلود شده‎ بودند و ارتباط با این سرویس با استفاده از همان شیوه رمزنگاری XOR و زیپ انجام شده بود. اپلیکیشن‎های دانلود و نصب‎شده از اسامی بسته‎بندی اپلیکیشن‎های غیرمحبوب موجود در گوگل‎پلی استفاده کردند. آن‎ها هیچ ربطی به اپلیکیشن‎های روی گوگل‎پلی نداشتند جز این که یک نام بسته‎بندی مشابه دارند.»

Mike Cramp، محقق ارشد امنیتی شرکت خدمات امنیت موبایل Zimperium تایید می‎کند که توانایی‎های تریادا پیشرفته بودند.

او می‎گوید «ظاهر تریادا نشان می‎دهد که یک بدافزار نسبتا پیشرفته با توانایی‎های C&C است. ما adware زیادی می‎بینیم ولی تریادا کاملا متفاوت است چون از C&C و سایر تکنیک‎هایی استفاده می‎کند که بیشتر در مسائل مربوط به بدافزارها دیده می‎شوند. درست است، هدف نهایی آن نشان دادن تبلیغات است ولی شیوه انجام این کار به نسبت اکثر adwareها پیچیده‎تر است.»

Siewierski گفت توسعه‎دهندگان ویروس تریادا پس از این که گوگل تدابیری به کار برده است تا با موفقیت جلوی در پشتی را بگیرد، به حمله به زنجیره تامین متوسل شدند. یکی از تدابیر گوگل استفاده از روش‎هایی برای جلوگیری از عملکرد مکانیسم‎های روت سیستم عاملش بوده است. تدبیر دوم استفاده از Google Play Protect است که به این شرکت اجازه می‎دهد از راه دور گوشی‎های به خطر افتاده را از آسیب نجات دهد.

نسخه‎ای از تریادا که در سال 2017 روی گوشی‎های اندرویدی نصب شده بود قابلیت‎های روت را نداشت. نسخه جدید «به شکل غیرمحسوسی در ایمیج سیستم در قالب یک کد شخص ثالث برای قابلیت‎های اضافه‎ای لحاظ شده بود که شرکت تولیدکننده گوشی درخواست آن‎ها را داشت.»

گوگل از آن زمان با شرکت‎ها در تعامل بوده است تا مطمئن شود این بدافزار از ایمیج فریم‎ویر حذف شده است.

منبع: arstechnica.com