بدافزار اندرویدی راه‌های جدیدی برای استخراج وظایف در حال اجرای دستگاه پیدا کرده است!

بدافزارهای بانکداری اندرویدی از ایده‌های پروژه‌های متن‎باز به میزبانی Github بهره می‌برند و از UsageStats API برای دور زدن تدابیر امنیتی اندروید ۵.۰ و ۶.۰ استفاده می‌کنند.
توانایی شناسایی برنامه‌ای که در حال اجراست، برای بدافزار بانکداری تلفن همراه امری ضروری است تا بتواند عملیات فیشینگی بر روی آن انجام دهد. اندروید ۵.۰ LolliPop اندروید Marshmallow ۶.۰ با کنار گذاشتن get Running Tasks() API، توانایی بدافزار برای پیدا کردن عملیات در حال اجرا را خنثی کردند، اما از وقتی که گوگل وصله‎های امنیتی اندرویدی را منتشر کرده است، نویسندگان بدافزار مشغول بازی موش و گربه راه حل‌ها و وصله‎ها شده‌اند.
انواع جدید Android Bankosy و Android.Cepsohord که طی سه ماه گذشته مشاهده شده‌اند، از دو روش جدید برای دور زدن محصولات جدید امنیتی استفاده می‌کنند. یکی از این دو روش به یک مجوز خاص اضافی از جانب کاربر نیاز دارد، در حالی که روش دیگر به هیچ مجوزی نیاز ندارد.

روش اول: استفاده از یک پروژه‌ی متن‎باز برای پیدا کردن وظایف در حال اجرا
این روش از یک پروژه‎ی متن‎باز معروف به میزبانی GitHub استفاده می‌کند و به هیچ مجوز اضافی نیاز ندارد؛ پرونده /Proc/ را می‌خواند تا فرآیندهای در حال اجرا را یکایک بشمارد و برنامه پس‎زمینه را پیدا کند. توجه داشته باشید که پروژه‌ی متن‎باز خودش به تنهایی مخرب نیست. نویسندگان بدافزار تنها از این پروژه برای دور زدن روش‌های امنیتی استفاده می‌کنند.
این روش روی نسخه بعدی اندروید (با نام N) تأثیری ندارد.

روش دوم: استخراج کارهای در حال اجرا از UsagestatsManager
این روش از UsagestatsManager در اندروید ۵.۰ استفاده می کند تا به آمار و تاریخچه استفاده دستگاه دسترسی یابد. این بدافزار به جستجوی آمار استفاده از تمامی برنامه‌ها در ۲ ثانیه گذشته می‌پردازد و سپس بیشترین فعالیت انجام شده را حساب می‌کند.
۳
بدافزار از کاربر می‌خواهد که مجوز سامانه-سطح، مجوز اندروید PACKAGE-USAGE-STATS را صادر کند تا بتواند از این API استفاده کند. این مجوز تنها از طریق تنطیمات گوشی صادر می‌شود. برای حل این موضوع، بدافزار با شروع فعالیت مجوز دسترسی طبق برنامه، از روش مهندسی اجتماعی استفاده می‌کند، در حالی که با تقلید نام و آیکون گوگل کروم خود را به شکل گوگل کروم در می‌آورد.
۴_۱۳
نویسنده بدافزار ممکن است از یک پروژه‌ی بدافزاری هم‎پوشانی اثبات مفهومی به میزبانیGitHub الهام گرفته باشد. روش شروع این فعالیت خاص طبق برنامه، توسط شرکت خاصی مثل سامسونگ پشتیبانی نمی‌شود.

پیشی گرفتن بدافزار از پیشرفت‌ها و محصولات جدید امنیتی
بررسی تلاش خستگی‎ناپذیر نویسندگان بدافزار برای جلو زدن از محصولات امنیتی جدید در نوع خود جالب است. در اینجا هم مهاجمان از یک روش مهندسی اجتماعی کارآمد استفاده کرده‌اند تا بار دیگر به ما یادآور شوند که امنیت هر سامانه‌ای به سطح آگاهی کاربران بستگی دارد. گاهی کاربران ضعیف‌ترین رابط سامانه می‌شوند.

کاهش اثرات این بدافزار
شرکت Symantec به کاربران توصیه می‌کند که از روش‌های زیر برای محافظت در برابر خطرات گوشی تلفن همراه استفاده کنند:
– به‎روز نگه داشتن نرم‎افزار
– جلوگیری از بارگیری برنامه‌ها از وب‎گاه‌های ناآشنا و نصب برنامه‌ها تنها از منابع قابل اعتماد
– توجه ویژه به مجوزهایی که برنامه‌ها در خواست می‌کنند
– تهیه چند نسخه‌ی پشتیبان از اطلاعات مهم.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap