بدافزاری که کاربران را به صفحات نامرتبط هدایت می‎کند!

در ابتدای ماه مارس، آزمایشگاه کسپرسکی یک بدافزار چندبخشی به نام Backdoor AnroidOS Triada را کشف کرد که به بدافزارهای از قبل دریافت‎شده، امتیازات و امکانات کاربران ممتاز یا امتیازات فراکاربری (superuser) را اعطا می‌کند. این بدافزار همچنین امکان نفوذ به فرآیندهای سامانه را فراهم می‎کند. بلافاصله بعد از این کشف در ۱۵ مارس، مشخص شد که یکی از بخش‌های این بدافزار قادر است حملات خطرناکی را ترتیب دهد و نشانی وب‎گاه‌ها را در مرورگرها مختل کند.

این بخش بدافزاری دارای قسمت‎های مختلفی است و در محصولات آزمایشگاه کسپرسکی با نام Backdoor AndroidOS Triada p/o/q شناخته می‎شود. وقتی این بخش امتیازات فراکاربری دریافت می‎کند، با استفاده از ابزار عیب‎زدایی لینوکس، DLL را راه‎اندازی می‎کند و سپس آن را در مرورگرهای زیر فعال می‎کند:
com.android.browser (مرورگر اصلی اندروید)
com.qihoo.browser (مرورگر ۳۶۰ Secure )
com.ijinshan.browser_fast (مرورگر چیتا )
com.oupeng.browser (مرورگر اوپنگ )
سپس DLL، از بالا آمدن آدرسی که کاربر وارد می‎کند جلوگیری کرده و آن را تحلیل می‎کند و اگر لازم باشد، آن را تبدیل به آدرس دیگری می‎کند. قوانین لازم برای تغییر آدرس از طریق کارگزار کنترل و دستور (C&C Server) دریافت می‎شود. در این حین، بخش بدافزار به کار خود ادامه می‎دهد.

مراحل حمله
در یک سامانه آلوده نشده، مرورگر با استفاده از اینترنت یک درخواست را با آدرس مشخص به کارگزار وب‎گاه ارسال می‎کند و در جواب، یک صفحه اینترنتی باز می‎شود.

۱_۵۶

بعد از اینکه سامانه توسط بدافزار Triada آلوده شود، یک DLL برای تغییر آدرس‎ها به مرورگر اضافه می‎شود. از این به بعد، درخواستی که آدرس وب‎گاه را دارد از طریق DLL می‎گذرد و به دلیل وجود بدافزار، آدرس تغییر پیدا کرده و کاربر به سمت یک وب‎گاه دیگر هدایت می‎شود. در نتیجه این اتفاقات، مرورگر اطلاعاتی را دریافت خواهد کرد که با اطلاعات درخواستی متفاوت است و بنابراین کاربر صفحه متفاوتی را خواهد دید.

۲_۴۸
با توجه به این زنجیره از اتفاقات، طراحان بدافزارها از این مراحل برای ایجاد تغییر در موتور جستجوی اصلی انتخاب شده توسط مرورگر کاربر استفاده می‎کنند و سپس صفحه اولیه (home page) انتخاب شده توسط کاربر را تغییر می‎دهند. تمامی این مراحل و اتفاقات مشابه همان اتفاقاتی است که در تعداد زیادی از برنامه‎های تبلیغ‎افزار رایانه رخ می‎دهد. نکته مهم در اینجا این است که هیچ راهی برای جلوگیری از بروز حملات مشابه که در آن‎ها از بالا آمدن یک آدرس، مانند آدرس بانک‌ها جلوگیری می‎شود، وجود ندارد و کاربران همواره به صفحات نامربوط هدایت می‎شوند. تنها کاری که کلاهبرداران فضای مجازی باید انجام دهند، ارسال دستور مقتضی برای این مراحل است.

این بخش از بدافزار در طول دوره مشاهده به ۲۴۷ کاربر حمله کرد و نکته مهم این است که در شدت این حملات هیچ‎گونه کاهشی مشاهده نشد. تعداد نسخه‎های این بدافزار کم است و همین امر به ظاهر طراحان این بدافزار را متقاعد کرده است تا علی‎رغم سودی که این روش می‎تواند در آینده داشته باشد، توجه خود را به جاهای دیگر معطوف کنند.
نحوه توزیع جغرافیایی این بدافزار مشابه بدافزار دستیابی به ریشه (Root Access Malware) است. این بخش از بدافزار فقط با همراهی بدافزار اصلی Triada کار کرده و از طریق Triada نیز قابل دریافت است.

در پایان، باید اذعان کرد که مجرمان فضای مجازی که در زمینه اندروید فعالیت می‎کنند، به‎ظاهر کم‎کار هستند، زیرا برای آن‎ها بسیار راحت‎تر است که با استفاده از روش‎های دیگر به‎طور مستقیم اقدام به سرقت کنند. از این روش‎ها می‎توان به استفاده از بدافزار برای ارسال پیام‎های متنی به شماره تلفن‎های مختلف اشاره کرد. همچنین آن‎ها می‎توانند برنامه‎های بانک‎ها را مختل کنند و از این طریق به بانک‌ها دستبرد بزنند. در عین حال، جدیدا شاهد آن هستیم که برخی مجرمان در زمینه ساختار سامانه‎های عامل بررسی‎هایی را انجام داده‎اند و توانایی‎های عملی خود را تقویت کرده‎اند و حملات پیچیده‎تری نظیر آنچه که در این خبر مفصل در مورد آن بحث شد، ترتیب داده‎اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.