حمله تروجان ویندوزی Dualtoy به دستگاه‌های اندروید و iOS

محققان امنیتی به تازگی خبر از کشف یک تروجان جدید ویندوز به نام DualToy می‌دهند که از طریق اتصال USB بین یک گوشی تلفن اندروید و یک رایانه آلوده، اقدام به بارگیری جانبی۱ برخی برنامه‌های مخرب در گوشی تلفن همراه می‌کند.

محققان شرکت Palo Alto Networks طی بررسی‌های خود اعلام کردند که این تروجان از ژانویه ۲۰۱۵ در فضای اینترنتی فعالیت داشته است و تنها به صورت نصب ناخواسته برخی برنامه‌ها و نمایش برخی تبلیغات تلفنی خود را نشان داده است. ۶ ماه بعد، این تروجان با اندکی تغییر، اقدام به حمله به دستگاه‌های اپل نمود و با هدف سرقت نام کاربری و کلمه‌های عبور بخش iTunes، اقدام به ساخت یک برنامه نامعتبر‌ و جعلی App Store در این دستگاه‌ها کرد.

کلود خیائو ، یک محقق ارشد حوزه بدافزارها با چاپ یک گزارش مبسوط و فنی در مورد این تروجان اعلام کرد: «تروجان DualToy در ابتدای ظهور خود در ژانویه ۲۰۱۵، ‌تنها قادر به حمله به دستگاه‌های اندروید بود، اما در هفتم ژوئن سال ۲۰۱۵ اولین نمونه این تروجان که قادر به حمله به دستگاه‌های iOS است، مشاهده شد. در سال ۲۰۱۶ نیز یک نمونه دیگر از این تروجان مشاهده شد.»

محققان با بررسی روش کار این تروجان، دریافتند که این تروجان پس از آلوده کردن دستگاه ویندوز، به دنبال بخش ADB در تلفن‌های اندروید و بخش iTunes در تلفن‌های اپل می‌گردد و در مرحله بعدی، در صورت عدم وجود راه‌اندازهای مربوط به این دو بخش، اقدام به بارگیری آن‌ها می‌کند و از این طریق در هنگام برقراری اتصال، اقدام به آلوده کردن تلفن‌های همراه می‌نماید.

خیائو در این خصوص اذعان کرد: «اگرچه می‌توان با یک سری اقدامات جانبی (مانند فعال کردن بخش ADB در اندروید و جعبه شنی در اپل)، از بروز چنین حملاتی جلوگیری کرد و خطرات ناشی از این تروجان را کاهش داد، اما نحوه فعالیت این تروجان زنگ خطری برای کارشناسان و مهندسان این حوزه است. این مسئله نشان می‌دهد که نفوذگران چگونه می‌توانند با استفاده از اتصال USB، در برخی تلفن‌ها برنامه‌های جانبی مخرب را اجرا کنند. علاوه بر این، با بررسی بیشتر این تروجان می‌توان دریافت که بدافزارها چگونه می‌توانند در بسترهای مختلف پخش شوند.»

محققان همچنین طی بررسی‌های آماری خود اعلام کردند که تاکنون ۸ هزار نمونه فعال از این تروجان وجود دارد. در عین حال، آمار دقیقی از تعداد گوشی‌های آلوده به این تروجان در دست نیست.

محققان در بخش دیگری از گزارش‌های خود در این خصوص یادآور شدند که دستگاه‌های اپل در این زمینه خطر کمتری را مشاهده خواهند کرد، زیرا گواهی مربوط به بخش Apple App که تروجان برای نصب نمونه جعلی این بخش به آن نیاز دارد، اکنون منقضی شده است.

شرکت Palo Alto نیز اذعان داشت که در طول دو سال گذشته، نمونه‌های مشابهی ثبت شده‌اند که با استفاده از ویندوز و اپل، سعی در حمله به دستگاه‌های تلفن همراه از طریق روش‌های بارگیری جانبی داشته‌اند.

خیائو در این خصوص گفت: «این نوع از حمله معروف‌ترین نوع استفاده از ابزارهای مخرب است. تروجان WireLurker که یکی از نمونه‌های مشابه این تروجان است،‌ برنامه‌های مخرب را روی دستگاه‌های جیلبریک‌نشده‌ی آیفون اجرا می‌کرد. تروجان RCS که توسط گروه نفوذ HackingTeam طراحی شده بود نیز بدافزارهای خود را از رایانه‌ها و مک‌های آلوده به دستگاه‌های اپل جیلبریک‌شده و تلفن‌های BlackBerry ارسال می‌کرد.»

نکته مهم در خصوص تروجان DualToy این است که این تروجان تا چندی پیش تنها کاربران چینی را مورد حمله قرار می‌داد، اما تحقیقات محققان نشان می‌دهد که این تروجان به تازگی کاربرانی از کشورهای آمریکا، انگلستان، تایلند، اسپانیا و ایرلند را هدف خود قرار داده است.

خیائو در بخش دیگری از گزارش‌های خود در این خصوص اعلام کرد که برای دستگاه‌های اپل که این تروجان اقدام به آلوده‌سازی آن‌ها می‌کند، باید یک ارتباط جفتی قابل‌اعتماد میان رایانه و دستگاه تلفن همراه وجود داشته باشد. در غیر این صورت، تروجان قادر به آلوده‌سازی تلفن همراه نخواهد بود.

نکته دیگری که محققان تاکنون در کشف آن ناموفق بوده‌اند، این است که این تروجان چگونه وارد رایانه می‌شود. در عین حال، محققان مشاهده کرده‌اند که هنگامی که این تروجان وارد رایانه می‌شود، اقدام به بارگیری یک پرونده با نام adb.exe از کارگزار دستور و کنترل می‌نماید. این پرونده در حقیقت بخش اصلی ADB کاربران ویندوز است. محققان همچنین کشف کرده‌اند که نمونه‌های جدیدتر این تروجان یک پرونده محلی به همین شکل را با نام tadb.exe را در رایانه کاربر به جا می‌گذارد. این بدافزار سپس دو برنامه نصب‌کننده AppleMobileDeviceSupport۶۴.msi و AppleApplicationSupport۶۴.msi را که نرم‌افزارهای رسمی iTunes شرکت اپل برای نرم‌افزارهای ویندوز هستند، بارگیری می‌کند.

این تروجان در مورد دستگاه‌های اندروید، چندین برنامه نوشته‌شده به زبان چینی را در دستگاه نصب می‌کند. محققان با استفاده از این سرنخ، حدس می‌زنند که طراحان این تروجان برای این منظور، مبالغی را دریافت می‌کنند. در طرف مقابل، این تروجان در دستگاه‌های اپل با استفاده از روش‌هایی اقدام به فریب کاربران و شناسایی نام کاربری و کلمه عبور iTunes آن‌ها می‌کند.

خیائو در این خصوص اعلام کرد: « استفاده از یک برنامه جعلی App Store، کار جدیدی در این حوزه نیست. این برنامه در حال حاضر، یک برنامه جانبی مانند برنامه ZergHelper است که شرکت اپل در دستگاه‌های خود از آن استفاده می‌کند. برنامه App Store از نظر عملکرد، شبیه برنامه AceDeceiver است، زیرا هنگامی‌که برای اولین بار اجرا می‌شود، از کاربر درخواست می‌کند که شماره شناسایی و کلمه عبور خود را وارد کند.»

۱. Side Load

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.