شناسایی بدافزار پیشرفته‌ی دسترسی از راه دور اندروید

محققان آزمایشگاه امنیتی FireEye، به‌تازگی بدافزار اندرویدی را کشف کرده‌اند که سه قابلیت بسیار مهم دارد: سرقت داده‌های تلفن همراه، سرقت اطلاعات محرمانه‌‌ی بانکی و البته امکان دست‌رسی از راه دور برای مهاجم. 

این بدافزار خود را به عنوان یک «چارچوب خدمات گوگل1» نمایش می‌دهد و این قابلیت را دارد که نوع خاصی از ضدبدافزار با عنوان com.ahnlab.v3mobileplus که ضدبدافزار پرطرفداری است را غیر فعال کند و علاوه بر ویژگی‌های ذکر‌شده محققان FireEye گزارش داده‌اند که توسعه‌دهندگان این بدافزار در حال توسعه‌ی چارچوبی برای سرقت حساب‌های بانکی می‌باشند. 

محققان با بررسی کارگزار‌های فرمان‌دهی و کنترل این بدافزار آدرس‌های آی‌پی اصلی این کارگزار‌ها را کشف کرده‌اند که در هنگ‌کنگ قرار دارند و در حال حاضر ویژگی سرقت اطلاعات بانکی روی ۸ بانک کره‌ای متمرکز شده است، اما توسعه‌دهندگان در کم‌تر از ۳۰ دقیقه می‌توانند این ویژگی را برای سایر بانک‌ها نیز توسعه دهند. 

همان‌طور که مطرح شد این بدافزار با قابلیت‌های ذکر‌شده در نوع خود بی‌نظیر است و در صورتی که مهاجم کنترل یک دستگاه آلوده را از راه دور به‌دست بگیرد می‌تواند فعالیت‌های مخرب زیر را انجام دهد:‌

• سرقت پیامک‌ها و ارسال پیامک
• سرقت اطلاعات دفترچه‌تلفن
• پویش برنامه‌های بانکی نصب‌شده در تلفن همراه و جایگزینی آن‌ها با نسخه‌های جعلی
• تلاش برای از کار انداختن برنامه‌های امنیتی تلفن همراه

 

البته محققان گوگل معتفد هستند که بسیاری از کاربران اندروید نیازی به نصب محصولات ضدبدافزاری ندارند و جدا از این‌که غالب این نرم‌افزار‌هایی که ادعا می‌کنند ضدبدافزار هستند، درواقع  جعلی می‌باشند و کاری انجام نمی‌دهند، حتی برنامه‌های غیرجعلی نیز هیچ‌گاه از دستگاه تلفن همراه شما محافظت نمی‌‌کنند. این محققان می‌گویند همه‌‌ی برنامه‌های اندرویدی ابتدا از طریق سامانه‌ی خودکار گوگل2 اعتبارسنجی می‌شوند و وجود بدافزار و مشکلات امنیتی در آن‌ها بررسی شده و سپس در فروشگاه اندروید قرار می‌گیرند. اما اگر این گفته‌ها صحیح است، چرا این همه برنامه‌ی جعلی در فروشگاه رسمی گوگل یعنی GooglPlay وجود دارد؟

اما نکته‌ای که در مورد بدافزار مورد بحث که برخی محققان آن را HijackRAT نامیده‌اند، حائز اهمیت است نحوه‌ی حذف این بدافزار است. این برنامه‌ی اندرویدی را تنها در صورتی می‌توان از دستگاه آلوده حذف کرد که مجوز‌های مدیریتی آن ابتدا غیرفعال شوند. 

 

راه‌حل: برای مقابل با بدافزار‌های اندرویدی چه باید کرد؟

از آن‌جایی که نرخ بدافزار‌های اندرویدی به صورت چشم‌گیری قابل افزایش است، مشکلات زیادی گریبان‌گیر کاربران این سامانه‌عامل تلفن همراه شده است. تصور کنید که هر بدافزاری که قابلیت سرقت پیامک‌های تلفن‌همراه را دارد، بدون شک قابلیت خواندن پیامک‌ها در داخل تلفن همراه نیز برای مهاجم فراهم خواهد و اگر بدافزار می‌تواند اطلاعات دفترچه‌تلفن شما را سرقت کند، قطعاً دست‌رسی به شماره‌های ذخیره‌شده و استفاده از آن‌ها نیز در این بدافزار تعبیه شده است. 

بنابراین توصیه می‌شود قبل از نصب برنامه‌های اندرویدی در تلفن همراه خود، به مجوز‌های این نرم‌افزار دقت کنید، و اگر یک نرم‌افزار مانند نرم‌افزار پیامک که قطعاً مجوز دست‌رسی به دفتر‌چه تلفن، پیامک‌ها، سرویس ره‌گیری محل جغرافیایی کاربر را درخواست می‌کند، ابتدا از فروشگاه GooglePlay ویژگی‌های این نرم‌افزار و صحت آن را مطالعه کنید و سعی کنید تنها نرم‌افزار‌های مورد نیاز را در دستگاه خود نصب کنید.

اگر احساس می‌کنید دستگاه تلفن همراه شما بیش از حد باتری مصرف می‌کند و یا به شدت گرم می‌شود، یعنی برخی برنامه‌های غیرمجاز در حال انجام فعالیت‌های مخرب هستند، در این حالت برنامه‌های در حال اجرا در دستگاه را پویش کنید و برنامه‌های مخرب را حذف کنید. هم‌چنین توصیه می‌شود برای اطلاعات بیش‌تر در زمینه‌ی محافظت از دستگاه اندرویدی خود ۵ را‌ه‌کار ساده برای اجتناب از بدافزارهای اندرویدی را نیز مطالعه کنید.

منبع : news.asis.io