اولین تروجان بانکداری اندروید با امتیازات ریشه

۱۸۷۲توسعه‌دهندگان یک تروجان اندروید بانکداری، این بدافزار را برای دستیابی به سطوح اختیارات ریشه ارتقاء داده‌اند. این اولین باری است که یک تروجان بانکداری که سعی دارد دسترسی ریشه داشته باشد مشاهده می‌شود. محققان تروجان Tordow را در ماه فوریه کشف کردند اما ظاهراً مهاجمان در طی ماه‌های گذشته این تروجان را برای دستیابی به امتیازات ریشه ارتقاء ‌بخشیده‌اند.

آنتون کیوا، تحلیلگر بدافزاری که در آزمایشگاه کسپرسکی تکامل Tordow را دنبال کرده است، اوایل صبح روز سه‌شنبه در تحلیلی جامع و کامل در Securelist post به‌روزرسانی‌های اخیر این تروجان را توضیح داده است.

کیوا نوشت هنگامی‌که کد مخرب در این برنامه فعال می‌شود، بدافزار دیگری را بارگیری می‌کند. بدافزار مذکور شامل یک بسته‌ی بهره‌برداری است که در پرونده‌ی سامانه‌ بارگیری شده و امتیازات دسترسی به ریشه را در دستگاه به مهاجم می‌دهد. با این اتفاق، مهاجم تقریباً هر کاری که بخواهد را می‌تواند انجام دهد. این تروجان می‌تواند جزئیات ورود کاربران را در مرور‌گرهای نصب‌شده بر روی دستگاه بدزدد.

این مرورگرها می‌توانند مرورگر پیش‌فرض اندروید یا در صورت نصب، گوگل کروم باشند. همچنین این تروجان می‌تواند پیام‌های متنی و تماس‌ها را استراق سمع کند.

مهاجمان با دسترسی به اطلاعات مرورگر‌ها می‌توانند اطلاعات حساب بانکی قربانیان را نظیر اطلاعات ورود، کلمه‌های عبور بانکی و کوکی‌ها، اگر در مرورگر ذخیره شده باشند، به دست آورند. مهاجمان با داشتن دسترسی ریشه می‌توانند هرگونه پرونده‌ی موجود در دستگاه آلوده را نظیر عکس، اسناد و پرونده‌هایی که شامل اطلاعات بیشتری در دستگاه قربانی هستند بدزدند که این مسئله شرایط را حاد‌تر می‌کند.

این بدافزار همچنین به مهاجم این توانایی را می‌دهد که دستگاه را مجدداً راه‌اندازی کرده، تماس برقرار کند، اسامی مخاطبان را دزدیده و برنامه‌ها را نصب و حذف کند. طبق گزارش آزمایشگاه کسپرسکی، درحالی‌که اکثر قربانیان این تروجان در روسیه هستند، فعالیت‌هایی نیز در اوکراین، چین و هند دیده ‌شده است. مهاجمان، تروجان مذکور را در نسخه‌های جعلی برنامه‌های محبوب نظیر Pokémon Go، تلگرام و برنامه شبکه‌ی اجتماعی اروپایی VKontakte به گردش درآورده‌اند. اگرچه این برنامه‌های مخرب در فروشگاه گوگل نیستند اما مهاجمان به کاربران ساده‌ای دل خوش کرده‌اند که از طریق منابع شخص ثالث این برنامه‌ها را نصب کنند.

مهاجمان از زمان آغاز بازی Pokémon Go در ماه جولای چندین بار از محبوبیت این بازی بهره جسته و با استفاده از نام این بازی یک RAT با درپشتی برای انتشار باج‌افزار ارائه کرده‌اند. محققان آزمایشگاه کسپرسکی هفته گذشته هشدار دادند که برنامه‌ی مخرب اندرویدی با نام راهنمای بازی Pokémon Go، توانسته است به فروشگاه گوگل وارد شود و به‌طور مخفیانه به مهاجمان در ۶ هزار دستگاهی که آن را نصب کرده بودند، دسترسی ریشه بدهد. این اواخر آسیب‌پذیر‌های بسیاری مشاهده شده‌اند که کاربران را فریب می‌دهند تا در دستگاه‌هایشان به مهاجمان اجازه‌ی دسترسی ریشه بدهند.

پس‌ از اینکه در ماه ژوئن کشف شد چندین برنامه به‌صورت خودکار دستگاه را روت می‌کنند، گوگل مجبور شد تا چندین برنامه را از فروشگاهش حذف کند. در همین زمان، کارشناسان شرکت امنیتی تلفن‌همراه Lookout که این بدافزار را یافته بودند، فرآیند روت خودکار را یکی از جدیدترین و مقاوم‌ترین رویه‌ها در تهدیدهای تلفن‌همراه دانستند. بیش از ۹۰۰ هزار دستگاه اندروید در تابستان نسبت به Quadrooter آسیب‌پذیر بوده‌اند. Quadrooter خانواده‌ای از آسیب‌پذیری‌ها است که به مهاجمان اجازه‌ی عبور از راهکارهای امنیتی هسته لینوکس در اندروید را داده و بدین ترتیب مهاجم می‌تواند به اختیارات ریشه دست یابد.

همانند Todrow، یک مهاجم برای اینکه از طریق Quadrooter بتواند دسترسی ریشه داشته باشد، باید قربانی را برای بارگیری برنامه‌ای مخرب فریب دهد. شمار روزافزونی از تروجان‌ها وجود دارند که می‌توانند به دسترسی ریشه رسیده و دایرکتوری‌های سامانه‌ی دستگاه اندروید را آلوده بسازند؛ اما عموماً این شیو‌ه‌ای نیست که تروجان‌های بانکداری در پیش می‌گیرند بلکه تروجان‌های مذکور معمولاً اطلاعات را با استفاده از روش‌‌های مختلف به سرقت می‌برند.

کیوا سه‌شنبه بیان کرد که با وجود روند رو به رشد بدافزارها در بدست‌آوردن دسترسی ریشه، با گذشت زمان شاهد تکامل بدافزارهای بانکی به این سمت بوده‌ایم.کیوا بیان کرد: «اخیراً روند روبه رشد بدافزار‌ها برای دسترسی به ریشه را مشاهده کرده‌ایم. بسیار ضروری است که دستگاه خود را از این‌گونه تهدید‌ات محافظت نمایید، زیرا زمانی که بدافزار دسترسی ریشه پیدا کند، حذف آن تقریباً امری غیرممکن است.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]