باج‌افزار اندرویدی و Hacking Team

تاریخ انتشار : ۱۲ ارديبهشت ۱۳۹۵

انتشار باج‌افزار اندروید از طریق بدافزار Towelroot و اطلاعات لو رفته‌ی Hacking Team و اما این باج‌افزار جدید بدون دخالت کاربر منتشر می‌شود.

به گزارش گرداب؛ بر اساس گفته‌های محققان آزمایشگاه بلوکت  (‌Blue Coat Labs)، این تهدید جدید تلفن همراه با باج‌افزارهای رمزگذار متفاوت است و موجب شده این روزها موردتوجه قرار گیرد، اما از همه جالب‌تر نحوه ارسال آن است.  اندرو برانت از آزمایشگاه بلوکت معتقد است که این اولین بار است که یک کیت سوء‌استفاده از آسیب‌پذیری می‌تواند یک برنامه مخرب را روی گوشی‌های تلفن همراه بدون دخالت کاربر نصب کند.

این باج‌افزار بر روی یک دستگاه آزمایشی، در زمان بازدید از یک وب‌گاه حاوی تبلیغاتِ آلوده به کدهای جاوا اسکریپت منتشرشده است.

دستگاه آلوده‌شده، از یک نسخه قدیمی اندروید استفاده می‌کرده و محققان کشف کردند که کدهای جاوا اسکریپت که حاوی این روش سوء‌استفاده از آسیب‌پذیری بوده‌اند  که در جریان نفوذ به شرکت Hacking Tem لو رفته است و حاوی یک محموله شامل کدهای بهره‌بردار Towelroot  هستند که در سال ۲۰۱۴ کشف‌شده‌اند.

جوشوا دراک از شرکت Zimprium، ارائه‌دهنده راه‌حل‌های امنیتی تلفن همراه، تأیید کرده است که این حمله که مانع نشان دادن پنجره «مجوزهای نرم‌افزاری» معمول مربوط به آن می‌شود، از روش سوء‌استفاده از آسیب‌پذیری Hacking Team علیه libxslt استفاده می‌کند. محموله این حمله، یک پرونده‌ی اجرایی لینوکس ELF است که module.so نام دارد و شامل کدی برای بهره‌بردار  Towelroot است.

این بدافزار خود را به‌عنوان Cyber.police می‌نامد (نام درونی آن net.prospectus) است و بر اساس خانواده‌های باج‌افزار قدیمی و رمزگذاری دوباره بسته‌بندی‌شده است؛ این باج‌افزار دستگاه را قفل می‌کند و مانع از این می‌شود که سایر برنامه‌ها اجرا شوند و خود را به‌عنوان اولین برنامه‌ای که بعد از راه‌اندازی دستگاه اجرا می‌شود، ثبت می‌کند.

همچنین این بدافزار یک هشدار را نشان می‌دهد و از کاربر می‌خواهد که باج درخواست شده را بپردازد تا بتواند دوباره به گوشی دسترسی پیدا کند. این هشدار که گویی از «آژانس امنیت ملی آمریکا» و یا «سازمان امنیت ملی» است به کاربران اطلاع می‌دهد که باید باج را به شکل دو کد صددلاری کارت هدیه آی‌تونز اپل بپردازند.

بر اساس گزارش آزمایشگاه بلوکت، این باج‌افزار بر روی دستگاه‌هایی مشاهده‌شده است که سامانه عامل Cynogenmod ۱۰  اندروید ۴٫۲٫۲  را اجرا می‌کنند. بااین‌حال، محققان دست‌کم ۲۲۴ مدل منحصربه‌فرد از دستگاه‌ها را کشف کرده‌اند که از نسخه‌های ۴٫۰٫۳ تا ۴٫۴٫۴ اندروید استفاده کرده و از تاریخ ۲۲ فوریه با مرکز کنترل و فرماندهی این بدافزار ارتباط برقرار کرده‌اند.

همچنین این افراد خاطرنشان کرده‌اند که تاکنون مشخص نبوده است که  برخی از این دستگاه‌ها در برابر آسیب‌پذیری libxlst شرکت Hacking Team آسیب‌پذیر هستند و این بدان معناست که این مهاجمان ممکن است سایر آسیب‌پذیری‌ها را هم هدف قرار دهند تا مطمئن شوند، هر تعداد از دستگاه‌هایی را که ممکن بوده است، آلوده کرده‌اند.

همچنین محققان اعلام کرده‌اند که باوجودی که دستگاه آلوده قفل است، کاربران ممکن است قادر باشند تا آن را به رایانه متصل کرده و اسناد، تصاویر و دیگر پرونده‌ها را هم از حافظه داخلی و هم از کارت حافظه خارجی تعبیه‌شده دستگاه، بازیابی کنند. همچنین آن‌ها می‌گویند که این بدافزار ممکن است در صورت فلش کردن دستگاه نیز باقی بماند، باوجودی که در حین بازگرداندن گوشی همراه به حالت تنظیم کارخانه از بین خواهد رفت.