آلوده شدن برنامه‌های گوگل‌پلی به باج‌افزار شارژر

محققان امنیتی چک‌پوینت هشدار دادند باج‌افزار اندرویدی جدیدی کشف شده است که در برنامه‌های قانونی گوگل‌پلی جاسازی می‌شود. این باج‌افزار قربانی را تهدید می‌کند اگر باج را پرداخت نکند، داده‌های حساس او را در بازار وب تاریک به فروش خواهد گذاشت.

این باج‌افزار شارژر نام دارد و در یک برنامه‌ی تلفن همراه با نام EnergyRescue جاسازی شده است. باج‌افزار قابلیت سرقت اطلاعات مخاطبین قربانی و پیام‌های کوتاه را دارد و از کاربر مجوزهای مدیریتی را درخواست می‌کند. اگر این مجوزها به بدافزار اعطا شود، می‌تواند دستگاه قربانی را قفل کرده و یک پیغام باج‌خواهی به او نشان دهد.

این باج‌افزار قربانی را تهدید می‌کند اگر باج ِ درخواستی را پرداخت نکند، اطلاعات او را در بازارهای وبِ تاریک به فروش خواهد گذاشت و نویسندگان باج‌افزار نیز مدعی هستند که تمامی داده‌های قربانی بر روی کارگزار آن‌ها نگهداری می‌شود. مهاجمان می‌گویند اطلاعاتی که به سرقت برده‌اند حاوی اطلاعات شبکه‌های اجتماعی، حساب‌های بانکی، داده‌های کارت‌های اعتباری و اطلاعاتی در مورد خانواده و دوستانِ قربانی است.

محققان چک‌پوینت اشاره کردند این باج‌افزار مقدار ۰.۲ بیت‌کوین معادل ۱۸۰ دلار باج درخواست می‌کند و در بین باج‌افزارهای تلفن همراه که تاکنون مشاهده شده، این باج‌افزار بیشترین مقدار است. باج‌افزار قبلی تلفن همراه که DataLust نام داشت فقط ۱۵ دلار باج درخواست می‌کرد. از قربانیان باج‌افزار شارژر خواسته شده تا بیت‌کوین‌ها را به حساب مشخصی ارسال کنند.
همچنین مشاهده شده این باج‌افزار می‌خواهد مکان دستگاه تلفن همراه را تشخیص دهد و اگر مکان‌ قربانی یکی از کشورهای روسیه، اوکراین و یا بلاروس باشد، دستگاه مورد نظر را آلوده نخواهد کرد.

در حالی‌که بسیاری از بدافزارهای موجود در گوگل‌پلی از یک نصب‌کننده برای بارگیریِ بار داده‌ی بدافزار استفاده می‌کنند، مشاهده می‌کنیم که باج‌افزار شارژر از یک بسته‌بندی‌کننده‌ی بسیار سنگین استفاده کرده که مخفی شدن بدافزار را بسیار سخت می‌کند. با این حال انتظار می‌رود نویسندگان بدافزار قابلیت‌ فرار از تشخیص این باج‌افزار را نیز ارتقاء دهند تا در گوگل‌پلی مخفی بماند. برای این منظور، باج‌افزار رشته‌ها را به آرایه‌های باینری کد می‌کند تا فهم آن سخت‌تر شود. همچنین کدها را از یک منبع رمزنگاری‌شده، به‌طور پویا بارگذاری می‌کند. باج‌افزار قبل از شروع روال‌های خود، بررسی می‌کند آیا بر روی یک شبیه‌ساز در حال اجرا شدن است یا خیر.

به گزارش چک‌پوینت، بسیاری از ماشین‌های تشخیص نمی‌توانند کدهایی که به‌طور پویا بارگذاری می‌شوند را شناسایی کنند و بدین ترتیب نویسندگان باج‌افزار دستورات بی‌معنی را برای باج‌افزار ارسال می‌کنند تا لایه‌ی حفاظتی بیشتری برای بدافزار فراهم شود. محققان همچنین اشاره کردند بررسی محیط اجرایی و اجرا شدن بر روی ماشین مجازی توسط بدافزارهای تلفن همراه نیز رو به افزایش است چیزی که قبلاً در بدافزارهای رایانه شاهد آن بودیم.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.