امکان انتقال باج‌افزار تلفن همراه FLocker به تلویزیون‌های هوشمند

استفاده از چندین دستگاه با یک صفحه‌نمایش برای افراد نمونه‌ای از آسایش در زندگی است. درعین‌حال، اگر یک بدافزار به یکی از این دستگاه‌ها نفوذ کند، می‌تواند به دیگر دستگاه‌ها نیز نفوذ کند. چنین مسئله‎ای را می‌توانیم در باج‌افزار قفل صفحه اندروید، موسوم به Flocker ببینیم که می‌تواند تلویزیون‌های هوشمند را نیز قفل کند.
از زمانی که FLocker (با نام تخصصی ANDROIDOS_FLOCKER.A و نام کامل Frantic Locker) در می ۲۰۱۵ رؤیت شد، کارشناسان ۷۰۰۰ نمونه مشابه آن را در بانک نمونه‌ها یافته‌اند. طراح این باج‌افزار مرتباً طراحی این بدافزار را ادامه داده است تا از شناسایی شدن جلوگیری کرده و به نسخه‎های نوشته‌شده خود بیفزاید. کارشناسان می‌‌گویند در چند ماه گذشته، ما شاهد نسخه‌های منتشرشده زیادی از این بدافزار بوده‎ایم که آخرین آن‌ها در اواسط ماه آوریل با ۱۲۰۰ نسخه منتشرشده است.

آخرین نسخه FLocker یک بدافزار پلیسی است که خود را به‌جای یک پلیس فتا و یا مسئول قضایی جا می‌زند. این بدافزار کاربران را متهم به اعمالی می‎کند که مرتکب نشده‎اند. سپس، از کاربر درخواست کارت هدیه‎های iTunes به مبلغ ۲۰۰ دلار آمریکا می‎کند. بر اساس تحلیل‎های ما، تفاوتی میان FLocker هایی که تلفن‌های همراه را آلوده می‌کنند، با آن‌هایی که تلویزیون‌های هوشمند را آلوده می‌کنند، وجود ندارد.

FLocker برای جلوگیری از تحلیل آماری کد خود را در پرونده‎های اطلاعات خام در پوشه asset پنهان می‌کند. پرونده‎‌ای که این بدافزار تولید می‎کند، form.html نام دارد و ظاهر آن مانند پرونده‎های عادی است.
۱
از این طریق، کد classes.dex ساده به نظر می‎آید و هیچ‌گونه عمل مخرب در آن مشاهده نمی‎شود؛ بنابراین بدافزار می‎تواند از تحلیل آماری کدها جلوگیری کند. هنگامی‌که بدافزار شروع به کار می‎کند، پرونده form.html را تخریب کرده و کد مخرب را از آن استخراج می‎کند.
۲

وقتی FLocker برای اولین بار توسط کاربر فعال شود، بررسی خواهد کرد که آیا دستگاه در یکی از کشورهای قزاقستان، آذربایجان، گرجستان، مجارستان، اوکراین، روسیه، ارمنستان و یا بلاروس قرار دارد یا خیر. اگر این‌چنین باشد، بدافزار به شکل خودکار خودش را از کار می‎اندازد.

اگر این بدافزار موقعیت را جز این‌ها ببیند، آن را برای فعالیت خود مناسب می‎بیند و سپس اقدام به آلوده کردن دستگاه کرده و سپس ۳۰ دقیقه به حالت غیرفعال درمی‌آید. بعد از این زمان، اقدام به ارائه سرویس‎های پشت صفحه‎ای کرده و از کاربر درخواست می‎کند که آن‌ها را تائید کند. کارشناسان این روش را یک حقه برای نفوذ به اطلاعات عملیاتی تلفن همراه می‎دانند. اگر کاربر این درخواست را تائید نکند، این بدافزار صفحه را قفل می‌کند و این‌گونه تصور می‎شود که تلفن همراه در حال به‎روزرسانی است.
۳

FLocker به کار خود ادامه می‎دهد و به یک کارگزار دستور و کنترل متصل می‎شود. این کارگزار سپس بار داده‌ی مفید از یک نرم‎افزار را به‌اضافه پرونده باج‎افزاری HTML دریافت کرده و رابط جاوا اسکریپت را فعال می‎کند. سپس صفحه HTML می‎تواند نصب آن نرم‌افزار را انجام داده و با استفاده از رابط جاوا اسکریپت، از کاربر عکس گرفته و آن‌ها را در صفحه باج‎افزاری نمایش دهد.
۴
این وب‎گاه باج‎افزاری سپس عکس را، فارغ از اینکه دستگاه آلوده‌شده تلفن همراه و یا تلویزیون هوشمند است، در صفحه قرار می‎دهد. در این حالت صفحه‌نمایش قفل است و همزمان کارگزار دستور و کنترل اطلاعاتی نظیر اطلاعات دستگاه، شماره تلفن، مخاطبان، موقعیت و دیگر اطلاعات را جمع‎آوری می‎کند. این اطلاعات سپس با کلیدهای درون کد شده رمزنگاری شده و در base۶۴ به شیوه مخصوص بدافزار کدنگاری می‎شوند.
۵
باج‎افزارها معمولاً از طریق هرزنامه‎های پیامکی و یا نشانی‎های مخرب وارد دستگاه هدف می‎شوند. به همین دلیل است که کاربران باید هنگام اینترنت‎گردی و یا دریافت پیامک یا رایانامه از منابع نامشخص هوشیار باشند.

راه‌حل‌ها
کارشناسان امنیتی می‌گویند توصیه ما این است که در صورت بروز این اتفاق برای تلویزیون هوشمند، کاربر با فروشنده دستگاه تماس برقرار کرده و از وی تقاضای کمک کند. در همین حال، درصورتی‌که کاربر بتواند سامانه رفع نقص ADB را فعال کند، یک راه دیگر برای رفع این مشکل وجود دارد. کاربران می‌توانند دستگاه‌های خود را به رایانه وصل کرده و بخش ADB را فعال کرده و دستور PM clear %pkg% را فعال کند. این کار عملیات باج‎افزاری را متوقف کرده و صفحه کلید را قفل‎گشایی می‌کند. کاربران همچنین می‎توانند امتیازات مدیریتی دستگاه را غیرفعال کرده و باج‎افزار را پاک کنند.
برای برقراری امنیت در گوشی‎های تلفن همراه، توصیه می‎کنیم که برنامه‎های امنیتی را در تلفن همراه خود نصب کنید و تلفن خود را از خطرها و برنامه‎های مخرب حفظ کنید. برنامه امنیتی Trend Micro و برنامه امنیتی نسخه شخصی Trend Micro کاربران را از این باج‎افزارها و خطرات این‌چنینی حفظ می‌کند. برنامه امنیتی نسخه شخصی Trend Micro هم‌اکنون در بازار گوگل موجود است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.