انتشار باج‌افزار اندروید از طریق بدافزار Towelroot و اطلاعات لو رفته‌ی Hacking Team

یک باج‌افزار جدید اندروید از طریق دو بهره‌برداری شناخته شده بدون دخالت کاربر منتشر می‌شود.
بر اساس گفته‌های محققان آزمایشگاه بلوکت (‌Blue Coat Labs)، این تهدید جدید تلفن همراه با باج‌افزارهای رمزگذار متفاوت است و موجب شده این روزها مورد توجه قرار گیرد، اما از همه جالب‌تر نحوه ارسال آن است. اندرو برانت از آزمایشگاه بلوکت معتقد است که این اولین بار است که یک کیت سوء‌استفاده از آسیب‌پذیری می‌تواند یک برنامه مخرب را روی گوشی‌های تلفن همراه بدون دخالت کاربر نصب کند.
این باج‌افزار بر روی یک دستگاه آزمایشی، در زمان بازدید از یک وب‌گاه حاوی تبلیغاتِ آلوده به کدهای جاوا اسکریپت منتشر شده است.
دستگاه آلوده شده، از یک نسخه قدیمی اندروید استفاده می‌کرده و محققان کشف کردند که کدهای جاوا اسکریپت که حاوی این روش سوء‌استفاده از آسیب‌پذیری بوده‌اند که در جریان نفوذ به شرکت Hacking Tem لو رفته است، و حاوی یک محموله شامل کدهای بهره‌بردار Towelroot هستند، که در سال ۲۰۱۴ کشف شده‌اند.
جوشوا دراک از شرکت Zimprium، ارائه‌دهنده راه‌حل‌های امنیتی تلفن همراه، تأیید کرده است که این حمله که مانع نشان دادن پنجره «مجوزهای نرم‌افزاری» معمول مربوط به آن می‌شود، از روش سوء‌استفاده از آسیب‌پذیری Hacking Team علیه libxslt استفاده می‌کند. محموله این حمله، یک پرونده‌ی اجرایی لینوکس ELF است که module.so نام دارد و شامل کدی برای بهره‌بردار Towelroot است.
این بدافزار خود را به عنوان Cyber.police می‌نامد (نام درونی آن net.prospectus) است و بر اساس خانواده‌های باج‌افزار قدیمی و رمزگذاری دوباره بسته‌بندی شده است؛ این باج‌افزار دستگاه را قفل می‌کند، و مانع از این می‌شود که سایر برنامه‌ها اجرا شوند، و خود را به عنوان اولین برنامه‌ای که بعد از راه‌اندازی دستگاه اجرا می‌شود، ثبت می‌کند.
همچنین این بدافزار یک هشدار را نشان می‌دهد و از کاربر می‌خواهد که باج درخواست شده را بپردازد تا بتواند دوباره به گوشی دسترسی پیدا کند. این هشدار که گویی از «آژانس امنیت ملی آمریکا» و یا «سازمان امنیت ملی» است به کاربران اطلاع می‌دهد که باید باج را به شکل دو کد صد دلاری کارت هدیه آی‌تونز اپل بپردازند.
بر اساس گزارش آزمایشگاه بلوکت، این باج‌افزار بر روی دستگاه‌هایی مشاهده شده است که سامانه عامل Cynogenmod ۱۰ اندروید ۴٫۲٫۲ را اجرا می‌کنند. با این حال، محققان دست کم ۲۲۴ مدل منحصر به فرد از دستگاه‌ها را کشف کرده‌اند که از نسخه‌های ۴٫۰٫۳ تا ۴٫۴٫۴ اندروید استفاده کرده و از تاریخ ۲۲ فوریه با مرکز کنترل و فرماندهی این بدافزار ارتباط برقرار کرده‌اند.
همچنین این افراد خاطرنشان کرده‌اند که تاکنون مشخص نبوده است که برخی از این دستگاه‌ها در برابر آسیب‌پذیری libxlst شرکت Hacking Team آسیب‌پذیر هستند، و این بدان معناست که این مهاجمان ممکن است سایر آسیب‌پذیری‌ها را هم هدف قرار دهند تا مطمئن شوند، هر تعداد از دستگاه‌هایی را که ممکن بوده‌است، آلوده کرده‌اند.
همچنین محققان اعلام کرده‌اند که با وجودی که دستگاه آلوده قفل است، کاربران ممکن است قادر باشند تا آن را به رایانه متصل کرده و اسناد، تصاویر و دیگر پرونده‌ها را هم از حافظه داخلی و هم از کارت حافظه خارجی تعبیه شده دستگاه، بازیابی کنند. همچنین آن‌ها می‌گویند که این بدافزار ممکن است در صورت فلش کردن دستگاه نیز باقی بماند، با وجودی که در حین بازگرداندن گوشی همراه به حالت تنظیم کارخانه از بین خواهد رفت.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]