انتشار باجافزار اندروید از طریق بدافزار Towelroot و اطلاعات لو رفتهی Hacking Team و اما این باجافزار جدید بدون دخالت کاربر منتشر میشود.
به گزارش گرداب؛ بر اساس گفتههای محققان آزمایشگاه بلوکت (Blue Coat Labs)، این تهدید جدید تلفن همراه با باجافزارهای رمزگذار متفاوت است و موجب شده این روزها موردتوجه قرار گیرد، اما از همه جالبتر نحوه ارسال آن است. اندرو برانت از آزمایشگاه بلوکت معتقد است که این اولین بار است که یک کیت سوءاستفاده از آسیبپذیری میتواند یک برنامه مخرب را روی گوشیهای تلفن همراه بدون دخالت کاربر نصب کند.
این باجافزار بر روی یک دستگاه آزمایشی، در زمان بازدید از یک وبگاه حاوی تبلیغاتِ آلوده به کدهای جاوا اسکریپت منتشرشده است.
دستگاه آلودهشده، از یک نسخه قدیمی اندروید استفاده میکرده و محققان کشف کردند که کدهای جاوا اسکریپت که حاوی این روش سوءاستفاده از آسیبپذیری بودهاند که در جریان نفوذ به شرکت Hacking Tem لو رفته است و حاوی یک محموله شامل کدهای بهرهبردار Towelroot هستند که در سال ۲۰۱۴ کشفشدهاند.
جوشوا دراک از شرکت Zimprium، ارائهدهنده راهحلهای امنیتی تلفن همراه، تأیید کرده است که این حمله که مانع نشان دادن پنجره «مجوزهای نرمافزاری» معمول مربوط به آن میشود، از روش سوءاستفاده از آسیبپذیری Hacking Team علیه libxslt استفاده میکند. محموله این حمله، یک پروندهی اجرایی لینوکس ELF است که module.so نام دارد و شامل کدی برای بهرهبردار Towelroot است.
این بدافزار خود را بهعنوان Cyber.police مینامد (نام درونی آن net.prospectus) است و بر اساس خانوادههای باجافزار قدیمی و رمزگذاری دوباره بستهبندیشده است؛ این باجافزار دستگاه را قفل میکند و مانع از این میشود که سایر برنامهها اجرا شوند و خود را بهعنوان اولین برنامهای که بعد از راهاندازی دستگاه اجرا میشود، ثبت میکند.
همچنین این بدافزار یک هشدار را نشان میدهد و از کاربر میخواهد که باج درخواست شده را بپردازد تا بتواند دوباره به گوشی دسترسی پیدا کند. این هشدار که گویی از «آژانس امنیت ملی آمریکا» و یا «سازمان امنیت ملی» است به کاربران اطلاع میدهد که باید باج را به شکل دو کد صددلاری کارت هدیه آیتونز اپل بپردازند.
بر اساس گزارش آزمایشگاه بلوکت، این باجافزار بر روی دستگاههایی مشاهدهشده است که سامانه عامل Cynogenmod ۱۰ اندروید ۴٫۲٫۲ را اجرا میکنند. بااینحال، محققان دستکم ۲۲۴ مدل منحصربهفرد از دستگاهها را کشف کردهاند که از نسخههای ۴٫۰٫۳ تا ۴٫۴٫۴ اندروید استفاده کرده و از تاریخ ۲۲ فوریه با مرکز کنترل و فرماندهی این بدافزار ارتباط برقرار کردهاند.
همچنین این افراد خاطرنشان کردهاند که تاکنون مشخص نبوده است که برخی از این دستگاهها در برابر آسیبپذیری libxlst شرکت Hacking Team آسیبپذیر هستند و این بدان معناست که این مهاجمان ممکن است سایر آسیبپذیریها را هم هدف قرار دهند تا مطمئن شوند، هر تعداد از دستگاههایی را که ممکن بوده است، آلوده کردهاند.
همچنین محققان اعلام کردهاند که باوجودی که دستگاه آلوده قفل است، کاربران ممکن است قادر باشند تا آن را به رایانه متصل کرده و اسناد، تصاویر و دیگر پروندهها را هم از حافظه داخلی و هم از کارت حافظه خارجی تعبیهشده دستگاه، بازیابی کنند. همچنین آنها میگویند که این بدافزار ممکن است در صورت فلش کردن دستگاه نیز باقی بماند، باوجودی که در حین بازگرداندن گوشی همراه به حالت تنظیم کارخانه از بین خواهد رفت.