چگونه یک بدافزار وارد گوشی هوشمند می‌شود؟

[ad_1]

اپلیکیشن‌های مخرب به گوشی آسیب می‌رسانند؛ مهم نیست که از اندروید استفاده می‌کنید یا آی‌فون، به هر حال آلوده شدن دستگاه به بدافزار یک اتفاق ناگوار است. در حالی که فروشگاه گوگل‌پلی پر از نرم افزارهای مضر است، اپل استور هم کاملا از این قضیه در امان نیست.

چرا تولیدکنندگان نرم افزارهای مخرب می‌خواهند گوشی شما را به بدافزار آلوده کنند؟ دو دلیل ساده وجود دارد: پول و دیتا. برنامه‌های بی‌شماری وجود دارند که هیچ‌وقت به بدافزار آلوده نمی‌شوند؛ آن‌ها چگونه از آلوده شدن محافظت می‌شوند و چگونه یک بدافزار بعضی از برنامه‌ها را آلوده می‌کند؟

برنامه‌های آلوده همه‌جا هستند!

اندازه‌گیری میزان فراگیر بودن برنامه‌های موبایل آلوده به بدافزار دشوار است اما یک چیز هم روشن است: هیچ سیستم عاملی در امان نیست! کاربران اندروید اخیرا با حملات HummingWhale ،Judy و Xavier مواجه بوده‌اند در حالی که کاربران iOS هم باید با XcodeGhost مقابله می‌کردند.

یک مطالعه منتشر شده در سال ۲۰۱۴، به‌عنوان بخشی از پروژه ANDRUBIS، یک میلیون نرم افزار اندروید (دقیقا تعداد ۱.۰۳۴.۹۹۹ نرم افزار) را مورد بررسی قرار داد. برنامه های نمونه‌برداری شده از طیف گسترده‌ای از منابع، از جمله بازارهای غیر رسمی، تورنت‌ها و سایت‌های شناخته شده برای ارایه برنامه‌های متفرقه و همچنین فروشگاه گوگل‌پلی انتخاب شده بودند. از ۱۲۵.۶۰۲ برنامه که از فروشگاه گوگل‌پلی نمونه‌برداری شده بود، ۱/۶ درصد از آن‌ها مخرب بودند (یعنی تعداد ۲۰۰۰۹ اپلیکیشن). متاسفانه اطلاعات موجود درباره برنامه‌های مخرب فروشگاه نرم‌افزاری اپل بسیار کم است، اما موارد بسیاری از فعالیت بدافزارها در دستگاه های مبتنی بر iOS مشاهده شده است. با این حال مهم‌ترین امتیاز iOS این است که تعداد این برنامه ها در مقایسه با اندروید در حداقل قرار دارد. به این آمارها توجه کنید: گزارش  Pulse Secure از نرم‌افزارهای مخرب در سال ۲۰۱۵ نشان می‌دهد که ۹۷ درصد از کل بدافزارها برای اندروید بوده و گزارش F-Secure از امنیت سایبری در سال ۲۰۱۷ این رقم را به ۹۹ درصد افزایش می‌دهد. در سال ۲۰۱۳ دپارتمان امنیت ملی آمریکا اعلام کرد که فقط ۰/۷ درصد از نرم افزارهای مخرب برای iOS بوده‌اند.

چگونه اپلیکیشن‌ها آلوده می‌شوند؟

فکر می‌کنید چه کسی برنامه‌ها را آلوده می‌کند؟ توسعه دهنده؟ باندهای جنایی و افراد خلافکار؟ شاید حتی دولت‌ها؟ همه این‌ها به نوعی صحیح‌اند.

یک توسعه دهنده برنامه‌هایی را با قابلیت بدافزار می‌سازد و در گوگل‌ پلی یا مارکت‌های مشابه منتشر می‌کند. خوشبختانه تعداد این قبیل توسعه‌ دهندگان زیاد نیست. ممکن است توسعه دهنده به این دلیل این کار را انجام دهد که بتواند با برنامه مخرب از طریق سرقت اطلاعات و نمایش تبلیغات سود بیشتری به دست آورد.

به طور معمول می‌بینیم که یک کد مخرب وارد یک اپلیکیشن می‌شود و آن اپلیکیشن دوباره منتشر می‌شود؛ تکنیک‌های مختلفی برای این کار وجود دارد.

Malvertising

Malvertising یکی از مشکلات رایج قرن ۲۱ است؛ شما از یک کانال قانونی تبلیغات آزاردهنده دریافت می‌کنید، در حالی که به‌طور معمول از یک برنامه عادی و قانونی انتظار حملات مخرب را ندارید و با خیال راحت از آن‌ها استفاده می‌کنید. بهترین مثال برای malvertising در اندروید، تروجان Svpeng banking است. این تروجان تبلیغات Google AdSense را آلوده می‌کند و از طریق مرورگر گوگل کروم کاربران اندروید را هدف قرار می‌دهد. در اینجا یک نکته وجود دارد: روی آگهی کلیک نکنید تا آلوده نشوید؛ فقط مشاهده آگهی کافی است.

بازنشر اپلیکیشن‌ها

گاهی برنامه‌های قانونی و واقعی را مشاهده می‌کنیم که از یک مارکت رسمی دانلود شده‌اند اما آلوده به بدافزار هستند؛ این برنامه‌ها پس از دانلود از مارکت‌های معتبر به بدافزار آلوده می‌شوند و سپس با نام مشابه اصلی در یک مارکت قانونی و یا متفرقه بازنشر می‌یابند. یک نکته کلیدی درباره این نوع برنامه‌ها تغییرات جزئی در نام آن‌ها است؛ به عنوان مثال Microsoft Word نام محصول اصلی منتشر شده توسط مایکروسافت است اما نام برنامه آلوده شده ممکن است Micr0soft W0rd باشد.

فروش اپلیکیشن

در هر زمانی توسعه دهنده می‌تواند امتیاز قانونی نرم افزار ارزشمند خود را به فروش برساند و در این صورت کاربران نمی‌توانند با اطمینان به‌روزرسانی‌های آن را دریافت کنند. هنوز هیچ مورد مستندی از خطر این نوع حمله وجود ندارد؛ با این حال توسعه دهندگان برنامه‌های محبوب با درخواست‌های خرید متعددی روبه‌رو می‌شوند؛ این حالت درباره افزونه‌های گوگل کروم هم صدق می‌کند؛ یک افزونه گوگل کروم با مجوز دسترسی به انبوهی از دیتاهای کاربران در حکم طلا است!

Amit Agarwa یک تجربه متفاوت داشت؛ او افزونه گوگل کروم خود را به یک فرد ناشناس فروخت و به این ترتیب کنترل برنامه از دسترس او خارج شد؛ در آپدیت بعدی که فقط یک ساعت طول کشید، انبوهی از تبلیغات در افزونه قرار گرفت و در واقع به یک ماشین تبلیغات تبدیل شد!

آیا اپل یا گوگل کمک می‌کنند؟

به‌عنوان صاحبان بزرگ‌ترین و محبوب‌ترین منابع برنامه‌ها، غول‌های تکنولوژی مسئولیت حفاظت از کاربران خود را در بیشتر موارد پذیرفته و این کار را انجام می‌دهند. این آسیب‌پذیری کاربران در برابر برنامه‌های‌ مخرب به اعتبار فروشگاه آن‌ها آسیب می‌رساند. البته در این مورد، اپل به رقیب خود برتری دارد.

اپل

بدون شک زمانی که صحبت از حفاظت کاربران iOS دربرابر برنامه‌های مخرب به میان می‌آید، اپل راه‌های زیادی در پیش‌رو دارد. فرآیند ایجاد و آپلود یک برنامه به فروشگاه اپل استور پیچیده‌تر است، و قبل از قرار گرفتن در مارکت، چندین مرحله بررسی و تایید انجام می‌شود. علاوه بر این، یک برنامه iOS دارای محدوده کوچکتری از دستگاه‌ها است و همچنین تعداد کمتری از نسخه‌های سیستم عامل را شامل می‌شود. همه این ها باعث می‌شوند که  استانداردها به طور کلی بالاتر از اندروید باشد.

اندروید

اخیرا گوگل به تکاپو افتاد تا تعداد فراوان برنامه‌های مخرب در فروشگاه نرم افزاری خود را کاهش دهد. این کمپانی زمانی که اعتبار و شهرتش را در معرض خطر دید Google Play Protect را معرفی کرد که یک لایه امنیتی برای دستگاه تلفن همراه است.  Play Protect به طور فعال دستگاه را برای جستجوی برنامه‌های مخرب اسکن می‌کند. علاوه بر این به طور مداوم فروشگاه گوگل‌پلی را هم به منظور یافتن بدافزارها، کنار گذاشتن توسعه‌دهندگان این قبیل نرم افزارها و حذف موارد مجرمانه اسکن می‌کند.

ممانعت از تشخیص داده شدن

در حالی که گوگل و اپل تلاش‌هایی هماهنگ را برای حفظ دستگاه‌های خود در مقابل عوامل مخرب انجام می‌دهند، نویسندگان بدافزارها تلاش می‌کنند تا از شناسایی آن‌ها جلوگیری شود. چند راه معمول وجود دارد که مهاجم کد مخرب خود را پنهان کند:

  • کد مخرب، پس از نصب اپلیکیشن دانلود شود.
  • کد مخرب در میان کدهای “پاک” قرار می‌گیرد.
  • تاخیر زمانی قبل نصب به بهانه راهنمای آموزش نرم‌افزار یا پرداخت هزینه
  • دریافت از یک منبع خارجی (به‌عنوان مثال malvertising)
  • پنهان شدن بدافزار در یک نوع دیگر از مدیا

همان طور که می‌بینید، روش‌های متعددی برای پنهان نگه‌داشتن یک برنامه مخرب یا کد مخرب از دید کاربران وجود دارد (جدای از مارکتی که برنامه از آن‌جا دانلود شده است).

جلوگیری از آلوده شدن به تروجان‌های موبایل

همان طور که مشاهده کردید، روش‌های زیادی وجود دارد که کد مخرب می‌تواند به یک برنامه وارد شود. علاوه بر این، نویسندگان کدهای مخرب روش‌های متعددی را برای پنهان نگه‌داشتن این کدها به کار می‌گیرند تا به راحتی‌ به گوشی هوشمند وارد شوند. با این روش‌ها می‌توانید از دانلود بدافزارها در امان باشید:

  • اپلیکیشن‌ها را فقط از مارکت‌های قانونی و معتبر دانلود کنید و از فروشگاه‌های سوم شخص دوری نمایید.
  • بررسی کنید که اپلیکیشن مورد نظر توسط یک توسعه دهنده معتبر و شناخته شده نوشته شده باشد.
  • بررسی‌های نوشته شده درباره برنامه را بخوانید؛ معمولا این بررسی‌ها اطلاعات مفیدی را ارایه می‌دهند.
  • ابزارهای تایید برنامه‌ها را همیشه فعال نگه‌دارید.
  • با پیشنهاد اپلیکیشن‌های رایگان فریب نخورید.
  • دستگاه خود را آپدیت کنید.

برنامه‌های مخرب زیادی وجود دارند، مخصوصا اگر از یک دستگاه با سیستم عامل اندروید استفاده می‌کنید، اما با درک صحیح تهدید‌ها و رعایت نکاتی که گفتیم دستگاه هوشمندتان در امنیت و سلامت باقی خواهد ماند.
آیا  شما هم نرم‌افزارهای مخرب موبایل را تجربه کرده‌اید؟ چه نوعی از آن‌ها را دیده‌اید و چه اتفاقی برای گوشی هوشمند شما افتاده است؟ از اندروید استفاده می‌کنید یا iOS‌؟ دیدگاه‌ها و تجربیات خود را با ما و سایر مخاطبین آی‌تی‌رسان در میان بگذارید.

[ad_2]

لینک منبع

بدافزار اندرویدی به نام GhostCtrl می‌تواند صدای شما را ضبط کرده و اطلاعات حساس را ذخیره کند

[ad_1]

به‌تازگی نسل جدیدی از بدافزارهای اندرویدی کشف شده‌اند که می‌توانند فیلم بگیرند، صدای شما را ضبط کنند، در پوشه‌ها و فایل‌ها تغییر ایجاد کنند، پیام‌ها و تماس‌های شما را زیر نظر بگیرند و در نهایت بذر نصب باج‌افزارها را در درون دستگاه‌تان بپاشند.

محققان ترندمیکرو این نوع بدافزار را GhostCtrl (به فارسی: روح کنترل‌کننده) نامیده‌اند و به‌نظر می‌رسد که از دسته OmniRAT (یک ابزار برای دسترسی ریشه در اندروید) باشد که گسترش یافته‌ است. همچنین احتمال دارد که حمله قوی‌تر شده‌ کرم RETADUP باشد که در گذشته بر علیه بیمارستان‌های اسرائیلی در ژوئن (خرداد) انجام شد.

بنا به گزارش‌های رسیده، تاکنون سه نوع از GhostCtrl منتشر شده که شکل اول اطلاعات را می‌رباید و قابلیت‌های دستگاه را کنترل می‌کند، درحالی‌که نوع دوم، می‌تواند به اضافه قابلیت‌های نسخه ابتدایی‌تر، ویژگی‌هایی برای اکسپلویت را نیز با خود حمل کند؛ نوع سوم که ترکیبی از ورژن‌های قبلی است، کامپوننت‌ها و اجزا بیشتری برای اجرا عملیات‌های مخرب دارد.

GhostCtrl

جدیدترین نسخه شناسایی شده می‌تواند به تاریخ تماس‌ها، پیغام‌های متنی، مخاطبین، شماره‌های تماس، مکان، نسخه اندروید، مقدار باتری، اطلاعات بلوتوث و تاریخچه‌ مرورگر دسترسی داشته‌ باشد. داشتن توانایی برای جاسوسی و ضبط صوت و فیلم، اوضاع را برای قربانیان بدتر می‌سازد.

بدافزار از طریق برنامه‌هایی که به ظاهر نسخه قانونی واتس‌اپ یا پوکمن‌گو هستند، پخش می‌شود. پس از دانلود و نصب، یک درپشتی ایجاد می‌شود تا قربانی شک نکند ولی در پس‌زمینه با اتصال به سرور خاص کنترل و دستور (Command & Control) دستگاه را در اختیار می‌گیرد تا طبق دستورات دریافتی، دزدی صورت بگیرد.

در آخر، GhsotCtrl ویژگی تبدیل به باج‌افزار را دارد. صفحه را قفل می‌سازد، پسورد را تغییر می‌دهد و دستگاه را روت می‌کند. در طی این کار، اطلاعات بیشتری نیز به سرقت می‌روند و به سرور فرستاده می‌شوند. ترندمیکرو برای در امان ماندن، پیشنهاد می‌کند اندروید به‌روز بماند و برای اطمینان، یک ضدویروس نصب کنید تا برنامه‌های معروف را نیز اسکن کند. در ادامه می‌توانید با ده آنتی‌ویروس پیشنهادی اندروید، آشنا شوید.

[ad_2]

لینک منبع