برنامه راهنمای بازی Pokemon GO باعث روت دستگاه می‌شود!

۱۸۵۴برنامه اندرویدی که خود را به جای راهنمای بازی Pokemon GO جا می‌زند موجب روت دستگاه‌ها و نصب مخفیانه‌ی تبلیغ‌افزارها و برنامه‌های ناخواسته بر روی گوشی‌های هوشمند کاربران می‌شود.

این برنامه که راهنمای Pokémon Go نام دارد، توانسته به فروشگاه گوگل راه پیدا کند و در آنجا ۵۰۰ هزار بار توسط کاربران بارگیری و بر روی گوشی‌های همراه نصب‌ شده است.

کسپرسکی اعلام کرده است که از طریق اندازه‌گیری داده‌های راه دور که توسط تولیدات امنیتی خود دریافت کرده، دریافته است که حداقل ۶ هزار کاربر گوشی‌های خود را روت کرده و تحت کنترل بدافزار بوده‌اند.

این تروجان در گذشته هم به فروشگاه گوگل آسیب‌زده است.

تحقیقات بیشتر نشان دادند که نسخه‌ی دیگری از این برنامه در ماه جولای در فروشگاه گوگل بارگذاری شده بوده اما بعداً حذف ‌شده است. تروجانی مشابه با تروجان موجود در راهنمای Pokemon GO در ۹ برنامه دیگر نیز پیدا شده که چندین بار تحت نام‌های مختلف در فروشگاه گوگل بارگذاری شده است.

کلاه‌بردار ناشناس، آشکارا به دنبال موج‌های مردمی است و بد‌افزار خود را به‌صورت برنامه‌های جانبی در هر برنامه یا بازی که در دوره‌ی خاصی محبوبیت دارد، قرار می‌دهد.

کسپرسکی می‌گوید که ۹ برنامه‌ی دیگر بیش از ۱۰ هزار بار نصب نشده‌اند اما یکی از برنامه‌ها توانسته است ۱۰۰ هزار مرتبه بارگیری شود.

این تروجان کار یک برنامه‌نویس باتجربه است.

طبق تحلیل تخصصی این تروجان که کسپرسکی آن‌ را ‌با نام عمومی HEUR:Trojan.AndroidOS.Ztorg.ad کشف کرده است؛ بدافزار اندرویدی مذکور بسیار پیشرفته است و چندین لایه‌ی محافظتی دارد که مهندسی معکوس را بسیار سخت می‌کند. محققان بیان می‌کنند که این برنامه از بسته‌ای تجاری استفاده می‌کند. بسته‌ی تجاری برای نامنظم‌سازی و مخفی کردن کد طراحی‌ شده تا از تحلیل محققان امنیتی جلوگیری شود. به‌علاوه، این تروجان پس از آلوده کردن یک دستگاه، بلافاصله سازندگان خود پینگ نمی‌کند. بد‌افزار منتظر می‌ماند تا کاربر فعالیت‌هایی نظیر نصب یا حذف نرم‌افزار دیگری را انجام دهد؛ بدین‌صورت، تروجان متوجه می‌شود که بر روی ماشین مجازی و یا شبیه‌ساز در حال اجرا نیست. این تروجان می‌تواند رفتار خرابکارانه‌ی خود را تنها درصورتی‌که مطمئن باشد دستگاه یک انسان واقعی را آلوده کرده است، نشان دهد.

یکی از حیله‌گرترین تروجان‌های تاریخ

اما حیله‌گری این تروجان تمام‌شدنی نیست. تروجان به مدت دو ساعت پس از درک واقعی بودن دستگاه، صبر می‌کند و پس‌ از آن با کارگزار کنترل و فرمان‌دهی ارتباط برقرار می‌کند. هنگامی‌که این اتفاق رخ داد، تروجان جزئیات دستگاه را برای ثبت قربانی جدید ارسال می‌کند و سپس منتظر فرمان می‌ماند. تروجان تا زمانی که کارگزار دو بار برای درخواست هر دستورالعمل، پاسخ ندهد عملی انجام نمی‌دهد. این مورد نیز، شیوه‌ای ضد تحلیل است تا محققان امنیتی را فریب دهد.

زمانی که کلاه‌بردار هدایت‌کننده کارگزار کنترل و فرمان تصمیم به اجرای عملیات می‌گیرد، یک پرونده‌ی JSON را با چندین پیوند ارسال می‌کند. تروجان مذکور با پیگیری این پیوند‌ها، چندین پرونده را بر روی دستگاه آلوده بارگیری می‌کند.

تروجان بهره‌برداری‌ها را بارگیری و دستگاه را روت می‌کند!

این پرونده‌ها شامل چندین بهره‌بردار اندروید هستند که قادر به روت دستگاه بوده و به مهاجم دسترسی سطح-سامانه گوشی هوشمند را می‌دهند. این بهره‌بردار‌ها از آسیب‌پذیر‌های متعددی که بین سال‌های ۲۰۱۲ و ۲۰۱۵ برای روت دستگاه کشف شدند، استفاده می‌‌کنند. از جمله بهره‌برداری که در داده‌های انتشار یافته HackingTeam بوده است.

رومان اونوچک ، تحلیلگر ارشد بد‌افزار و از محققان آزمایشگاه کسپرسکی، می‌گوید: «قربانیان این تروجان ممکن است حداقل در ابتدا، متوجه افزایش تبلیغ‌افزارها نشوند اما در طولانی‌مدت، پیامد‌های آلودگی ممکن است بسیار بدتر باشند. اگرچه این برنامه اکنون از فروشگاه حذف ‌شده است اما نزدیک به نیم میلیون نفر، مستعد به آلودگی هستند و امیدواریم که این اعلان، هشدار لازم را برای انجام اقدامات مورد نظر به آن‌ها بدهد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap