موبایل و تبلت گجت ها

گوشی‎های اندرویدی پیش از عرضه به بازار ویروسی هستند!

محققان گوگل در جدیدترین نتایج خود اعلام کردند مجرمان اینترنتی در سال ۲۰۱۷ موفق شده‎اند یک درپشتی پیشرفته روی دستگاه‎های اندروید پیش از عرضه به بازار نصب کنند.

اولین بار نام ویروس تریادا (Triada) در سال ۲۰۱۶ در مقالاتی که شرکت امنیتی کسپراسکای منتشر کرد مطرح شد و براساس اعلام این شرکت این بدافزار «یکی از پیشرفته‎ترین تروجان‎های موبایل» بوده است که تحلیل‎گران این شرکت امنیتی تا حالا با آن روبرو شدند.

ویروس نریادا

زمانی که تریادا نصب شود، هدف اصلی آن نصب اپلیکیشن‎هایی است که برای فرستادن اسپم و نشان دادن تبلیغات استفاده می‎شوند.

این تروجان از یک جعبه ابزار قابل توجه استفاده می‎کند از جمله اکسپلویت‎های روت که از حفاظت‎های امنیتی داخلی اندروید عبور می‎کند و راهکارهایی برای تغییر فرآیند کاملا قدرتمند سیستم‎ عامل اندروید یعنی Zygote.

به عبارت دیگر این بدافزار می‎تواند مستقیما در هر اپلیکیشن نصب‎شده‎ای دخالت کند. تریادا همچنین به بیش از ۱۷ سرور کنترل و فرمان متصل است.

در ماه جولای سال ۲۰۱۷، شرکت امنیتی دکتر وب گزارش داد که محققان این شرکت موفق به کشف ترایادا در فریم‎ویر چندین دستگاه اندرویدی از جمله Leagoo M5 Plus، Leagoo M8، Nomu S10 و Nomu S20 شده‎اند.

هکرها از تکنیک درپشتی برای دانلود و نصب مخفیانه ماژول‎ها استفاده کردند. به گفته این گزارش چون در پشتی داخل یکی از کتابخانه‎های سیستم عامل اندروید جا گرفته بود و در قسمت سیستمی وجود داشت، امکان حذف آن با استفاده از روش‎های استاندارد نبود.

ماه پیش، گوگل گزارش دکتر وب را تایید کرد، گرچه نامی از شرکت‎ها نبرد. گزارش گوگل همچنین اعلام کرد که حمله زنجیره تامین توسط یک یا بیشتر از شرکای برندهای تولیدکننده گوشی‎های هوشمند انجام شده است و برای این کار توسط ایمیج فریم‎ویر نهایی دستگاه‎ها را آلوده کردند.

Lukasz Siewierski، یکی از اعضای تیم حریم خصوصی و امنیت اندروید گوگل اعلام کرد:

«تریادا ایمیج‎های سیستمی دستگاه را از طریق یک شخص ثالث در طول فرآیند تولید آلوده می‎کند. گاهی اوقات شرکت‎ها می‎خواهند قابلیتی را در گوشی خود لحاظ کنند که بخشی از پروژه متن باز اندروید نیست، مانند توانایی بازکردن گوشی با اسکن چهره.

از دست ندهید:
اندروید 7 و بالاتر چگونه به کلید امنیتی تبدیل می شوند؟

شرکت تولیدکننده گوشی همراه ممکن است با یک شرکت شخص ثالث برای طراحی قابلیت مورد نظر خود همکاری کند و کل ایمیج سیستمی را برای آن‎ها بفرستد.

ما براساس تحلیل‎ها اعتقاد داریم این شرکت شخص ثالث با استفاده از نام Yehuo یا Blazefire ایمیج سیستمی را آلوده به تریادا برگردانده است.»

در گزارش گوگل همچنین اشاره‎ای به تحلیل‎های قبلی قابلیت‎هایی شده است که تریادا را بسیار پیچیده کرده‎اند. به عنوان مثال، این ویروس از انکودینگ XOR و فایل‎های زیپ برای رمزنگاری ارتباط‎ها استفاده می‎کند.

همچنین، یک کد را داخل اپلیکیشن رابط کاربری سیستم تزریق می‎کند که اجازه به نمایش تبلیغات می‎دهد. در پشتی همچنین با تزریق یک کد دیگر می‎تواند از اپلیکیشن گوگل‎پلی برای دانلود و نصب اپلیکیشن دلخواه مهاجم استفاده کند.

Siewierski گفت «این اپلیکیشن‎ها از سرور C&C دانلود شده‎ بودند و ارتباط با این سرویس با استفاده از همان شیوه رمزنگاری XOR و زیپ انجام شده بود. اپلیکیشن‎های دانلود و نصب‎شده از اسامی بسته‎بندی اپلیکیشن‎های غیرمحبوب موجود در گوگل‎پلی استفاده کردند. آن‎ها هیچ ربطی به اپلیکیشن‎های روی گوگل‎پلی نداشتند جز این که یک نام بسته‎بندی مشابه دارند.»

Mike Cramp، محقق ارشد امنیتی شرکت خدمات امنیت موبایل Zimperium تایید می‎کند که توانایی‎های تریادا پیشرفته بودند.

او می‎گوید «ظاهر تریادا نشان می‎دهد که یک بدافزار نسبتا پیشرفته با توانایی‎های C&C است. ما adware زیادی می‎بینیم ولی تریادا کاملا متفاوت است چون از C&C و سایر تکنیک‎هایی استفاده می‎کند که بیشتر در مسائل مربوط به بدافزارها دیده می‎شوند. درست است، هدف نهایی آن نشان دادن تبلیغات است ولی شیوه انجام این کار به نسبت اکثر adwareها پیچیده‎تر است.»

Siewierski گفت توسعه‎دهندگان ویروس تریادا پس از این که گوگل تدابیری به کار برده است تا با موفقیت جلوی در پشتی را بگیرد، به حمله به زنجیره تامین متوسل شدند. یکی از تدابیر گوگل استفاده از روش‎هایی برای جلوگیری از عملکرد مکانیسم‎های روت سیستم عاملش بوده است. تدبیر دوم استفاده از Google Play Protect است که به این شرکت اجازه می‎دهد از راه دور گوشی‎های به خطر افتاده را از آسیب نجات دهد.

از دست ندهید:
آسیب پذیری خطرناکی در شبکه اجتماعی اینستگرام کشف شد

نسخه‎ای از تریادا که در سال ۲۰۱۷ روی گوشی‎های اندرویدی نصب شده بود قابلیت‎های روت را نداشت. نسخه جدید «به شکل غیرمحسوسی در ایمیج سیستم در قالب یک کد شخص ثالث برای قابلیت‎های اضافه‎ای لحاظ شده بود که شرکت تولیدکننده گوشی درخواست آن‎ها را داشت.»

گوگل از آن زمان با شرکت‎ها در تعامل بوده است تا مطمئن شود این بدافزار از ایمیج فریم‎ویر حذف شده است.

منبع: arstechnica.com

مطالب مرتبط

گوگل تمامی دستگاه‌های عرضه شده پس از ماه ژانویه ۲۰۲۰ را ملزم به استفاده از اندروید ۱۰ می‌کند

محمد امین نعمتی

اپلیکیشن گوگل مپ مکان کرایه دوچرخه را در ۲۴ شهر جدید نشان می‎دهد

محمد امین نعمتی

تسخیر آینده توسط بازی‌های آنلاین

کیوان

مرورگر Firefox Preview حفظ حریم خصوصی را در اولویت قرار می‎دهد؟

محمد امین نعمتی

با گوگل اسیستنت به پیام‌های واتساپ و تلگرام جواب دهید!

عباس رهامی

خانه سازی به سبک گوگل: گوگل برای ساخت ۲۰ هزار خانه در سان‌فرانسیسکو آستین بالا می‌زند!

عباس رهامی

۴۹ دستگاهی که آپدیت EMUI 9.1 هواوی را دریافت می‌کنند

کیوان

گوشی vivo iQOO Pro یک مدل غیر ۵G دارد؟

محمد امین نعمتی

در به‎روزرسانی بسته امنیتی اردیبهشت‎‌ گوشی گلکسی A50 سامسونگ چه چیزی جدید است؟

محمد امین نعمتی

تورلا، بدافزار نظامی بر میگردد؟

کیوان

به‎روزرسانی مرورگر کروم جلوی سایت‎ها از بررسی حالت ناشناس را می‎گیرد

محمد امین نعمتی

اندروید ۷ و بالاتر چگونه به کلید امنیتی تبدیل می شوند؟

عباس رهامی

ایراد جدید در گوشی‌های گوگل پیکسل سری Google Pixel 2 XL

ماهان

بازگشت سامورایی جسور: نگاهی اجمالی به گوشی Xperia 1 سونی

محمد امین نعمتی

سیستم عامل بعدی گوگل اندروید ۱۰ نام دارد؛ غول اینترنت بی‎خیال شیرینی شد!

محمد امین نعمتی

منشی تلفنی‌های رباتیک اطلاعات خصوصی را فاش می‌کنند!

کیوان

تاریخ انتشار اندروید ۱۰ در ۳ سپتامبر تایید شد

محمد امین نعمتی

تصویر و مشخصات فنی Honor 8S منتشر شد

کیوان

۱ دیدگاه

Avatar
امین سه شنبه , ۴ تیر ۱۳۹۸ at ۱۵:۲۰

من گوشی و تبلت اندرویدی میگیرم اولین کاری که میکنم حذف تمام برنامه‌های پیش فرض است، حتی اونهایی که قابل حذف یا disable شدن نیست با adb از روی کامپیوتر غیرفعال میکنم، نه فقط امنیت بیشتری دارم بلکه سرعت گوشی و حافظه آزاد رم بشدت افزایش پیدا میکنه و مصرف باطری بشدت کم میشه، جوری که بنظر میاد گوشی از نسل خودش یک نسل بالاتره!

پاسخ

دیدگاه شما چیست؟