حمله بدافزار Godless به حدود ۹۰ درصد دستگاه‌های اندروید

بدافزار نوظهور تلفن همراه Godless به‌تازگی با کپی‌برداری از روش کار کیت‌های سوءاستفاده و پیدا‌ کردن نقاط آسیب‌پذیری، طی یک فرآیند خودکار، اقدام به آلوده کردن تلفن‌ همراه کاربران می‌کند. این بدافزار به هنگام اجرای عملیات حمله خود، به بخش ریشه تلفن‌های همراه دارای سامانه عامل اندروید دسترسی پیدا می‌کند و کنترل کامل آن را به دست می‎گیرد.

کریستوفر باد، مدیر بخش ارتباطات خطرات جهانی شرکت Trend Micro، در مصاحبه با پایگاه اینترنتی SCMagazine.com عنوان داشت: «بدافزار Godless به‌ظاهر مجموعه‌ای از عوامل به‎روز حملات شناخته‌شده را به نقاط آسیب‌پذیری مختلف در خود جای داده است. این بدافزار هنگام بروز حملات، به هر بخش از دستگاه که در حال کار باشد نفوذ می‌کند. روش کار این بدافزار از این حیث مشابه روش کار Exploit در رایانه‌هاست. این بدافزار در طول چند سال گذشته گستره کار خود را بیشتر کرده است و بیشتر حملات خود را به سمت تلفن‌های همراه، روانه می‌کند و در حوزه رایانه حملات کمتری را ترتیب می‌دهد.»

روز گذشته، شرکت Trend Micro در یک پست خبری در وب‌گاه خود هشدار داد که با توجه به سوءاستفاده‌های بی‌شمار رخ داده، این بدافزار می‎تواند اهداف بیشتری را برای حمله انتخاب کند. در این صورت، بیشتر دستگاه‌های دارای نسخه ۵.۱ اندروید (با نام Lollipop) و همچنین نسخه‌های پایین‌تر، هدف مناسبی برای این بدافزار خواهند بود. هم‌اکنون حدود ۹۰ درصد از دستگاه‌های اندروید این نسخه را دارند. این محقق معتقد است که در صورت آلودگی این تعداد بالای دستگاه به این بدافزار، بیشترین تعداد آلودگی را در مقایسه با دیگر خطرها و بدافزارهای موجود برای اندروید شاهد خواهیم ‌بود.

باد در ادامه بیان کرد: افرادی که این بدافزار را کنترل می‌کنند، با الهام‌ گرفتن از یک شیوه ساده طراحان کیت‌های سوءاستفاده، سعی در ساختن یک چارچوب مقاوم و مستحکم برای حملات خود دارند. قبل از طراحی کیت‌های سوءاستفاده، مجرمان این حوزه می‎توانستند با استفاده از بدافزارهای خود، تنها به یک یا دو نقطه آسیب‌پذیری حمله کنند و برای انجام حمله خود، مجبور بودند رمز نقطه آسیب‌پذیری را بیابند؛ اما با پیدایش کیت‌های سوءاستفاده، دیگر نیازی به مشخص کردن این‌که به هر نقطه آسیب‌پذیری خاص، چگونه حمله کند نیست. در این صورت، مجرمان تنها باید زحمت خرید یک کیت سوءاستفاده را به خود بدهند.

با توجه به اینکه برخی افراد در این حوزه به این کیت‌ها به‌عنوان ابزار کار حرفه‌ای نگاه می‌کنند، همواره بخش‌های جدیدی به این کیت‌ها اضافه می‌شود. با توجه به اطلاعات دریافتی از بخش شناسایی برنامه‌های تلفن همراه شرکت Trend Micro، این بدافزار بیش از ۸۵۰ هزار دستگاه را در سراسر جهان آلوده کرده است که بیشترین قربانی این حملات از هند بوده‌اند. تحقیقات بیشتر در این زمینه نشان می‌دهد که ۴۶.۱۹ درصد قربانیان این بدافزار از کشور هند بوده‌اند. پس از هند، کشورهای اندونزی با ۱۰.۲۷ درصد و تایلند با ۹.۴۷ درصد در رده‌های بعدی هستند. در این میان، تنها ۱.۵ درصد دستگاه‌های آلوده‌شده توسط بدافزار Godless متعلق به کاربران آمریکایی است. اگرچه بدافزار Godless تمام نقاط آسیب‌پذیری موجود را برای حمله بررسی می‌کند، اما بیشترین نقاط مورد سوءاستفاده واقع‌شده، نقاط با شناسه‎های CVE-۲۰۱۵-۳۶۳۶ و CVE-۲۰۱۴-۳۱۵۳ می‎باشند که به ترتیب مقابل حملاتی با نام‌های PingPongRoot و Towelroot، حساس و آسیب‌پذیر هستند.

شرکت Trend Micro طبق مشاهداتش گزارش کرده است هنگامی‌که این بدافزار کنترل بخش ریشه دستگاه را به عهده می‎گیرد، دستورالعمل‎هایی مبنی بر دریافت و نصب برنامه‎های مخرب به آن ارسال می‎شود. این برنامه‎های مخرب به‌صورت دزدی و یا با استفاده از اطلاعات کاربری مسروقه از کاربران بخش نرم‌افزار گوگل دریافت می‎شوند. این برنامه‎ها معمولاً تبلیغاتی را دریافت می‎کنند که کاربر مایل به دریافت و مشاهده آن‌ها نیست.
شرکت Trend Micro همچنین خاطر نشان کرد که این بدافزار می‎تواند از کاربران جاسوسی نیز بکند.

این بدافزار تاکنون در چندین برنامه مخرب فروخته‌شده در فروشگاه‌های اینترنتی مشاهده شده است. یکی از انواع گول‎زننده این بدافزار رمزهای سوءاستفاده را در برنامه خود ندارد. این بدافزار به‌گونه‌ای برنامه‎ریزی شده است که با اولین به‌روزرسانی، رمزهای سوءاستفاده را دریافت می‎کند و سپس با دریافت دستور حمله از یک کارگزار دستور و کنترل، حمله خود را ترتیب می‌دهد. این ویژگی به نفوذگران این امکان را می‎دهد که برنامه‌های به‌ظاهر سالم خود (اما در حقیقت مخرب و دارای اهداف نفوذگرانه) را بدون خطر شناخته‎شدن، در بخش نرم‎افزار گوگل قرار دهند.
شرکت Trend Micro این نوع از این بدافزار را در تعدادی از امکانات و برنامه‎های بازی موجود در بخش نرم‎افزار گوگل مشاهده کرده است. یکی از این برنامه‎ها، برنامه استفاده از چراغ‌قوه تلفن همراه با نام «Summer Flashlight» است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap