دربِ پشتی در ثابت‌افزارهای اندرویدی و تلفن‌‌های همراه ارزان‌قیمت

در این پست دوباره برای کاربران اندروید خبرهای بدی داریم. در داخل تلفن‌های هوشمند و تبلت‌های ارزان‌قیمت از ثابت‌افزارهای مخربی استفاده شده که به‌طور محرمانه به اطلاعات دستگاه آلوده دست می‌یابند. این پرونده‌های مخرب همچنین در قسمت بالایی برنامه‌های در حال اجرا، تبلیغاتی را نمایش داده و پرونده‌های ناخواسته‌ی APK را بر روی دستگاه قربانی بارگیری می‌کنند.

محققان امنیتی از شرکت ضدبدافزار روسی Dr.Web دو نوع متفاوت از تروجان‌های بارگیری‌کننده را کشف کردند. این تروجان‌ها در ثابت‌افزارهای مربوط به بسیاری از دستگاه‌ها با بستر MediaTek جای گرفته‌اند و بازار اصلی آن‌ها در روسیه است.

این دو نوع تروجان با نام‌های Android.DownLoader.۴۷۳.origin و Android.Sprovider.۷ دارای قابلیت‌های زیر هستند:
• جمع‌آوری اطلاعات از ماشین آلوده
• ارتباط با کارگزار دستور و کنترل
• به‌روزرسانی خود به‌طور خودکار
• بارگیری و نصب برنامه‌های ناخواسته باتوجه به دستورات دریافتی از کارگزار خود
• اجرا بر روی دستگاه قربانی به‌محض روشن شدن دستگاه آلوده

فهرست دستگاه‌هایی که دارای این ثابت‌افزار آلوده هستند را در ادامه مشاهده می‌کنید:
Lenovo A۳۱۹, Lenovo A۶۰۰۰, MegaFon Login ۴ LTE, Bravis NB۸۵, Bravis NB۱۰۵, Irbis TZ۸۵, Irbis TX۹۷, Irbis TZ۴۳, Irbis tz۵۶, Pixus Touch ۷.۸۵ ۳G, SUPRA M۷۲KG, SUPRA M۷۲۹G, SUPRA V۲N۱۰, Itell K۳۳۰۰, Digma Plane ۹.۷ ۳G, General Satellite GS۷۰۰, Nomi C۰۷۰۰۰, Optima ۱۰.۱ ۳G TT۱۰۴۰MG, Marshal ME-۷۱۱, ۷ MID, Explay Imperium ۸, Perfeo ۹۰۳۲_۳G, Prestigio MultiPad Wize ۳۰۲۱ ۳G, Prestigio MultiPad PMT۵۰۰۱ ۳G, Ritmix RMD-۱۱۲۱, Oysters T۷۲HM ۳G, Irbis tz۷۰ و Jeka JK۱۰۳.

تروجان Android.Sprovider.۷ بر روی ثابت‌افزار دستگاه‌های Lenovo A۳۱۹ و Lenovo A۶۰۰۰ کشف شده است. این بدافزار دارای قابلیت‌های زیر است:
• بارگیری، نصب و اجرای پرونده‌های APK
• باز کردن پیوندهای خاص در داخل مرورگر
• برقراری تماس تلفنی با شماره‌های مشخص با استفاده از برنامه‌های سامانه‌ای استاندارد
• اجرای یک برنامه‌ی سامانه‌ای استاندارد پس از اینکه یک تماس تلفنی برقرار شده است
• نمایش دادن تبلیغات در بالای صفحات برنامه‌ها
• نمایش تبلیغات در نوار وضعیت
• ایجاد یک کلید میان‌بر در صفحه‌ی خانگی تلفن همراه
• به‌روزرسانی ماژول‌های مخرب مهم

در سوی دیگر تروجان Android.DownLoader.۴۷۳.origin در دیگر دستگاه‌ها کشف شده است. این تروجان نیز به نصب و بارگیری سایر پرونده‌های مخرب و بدافزارها می‌پردازد و حاوی یک برنامه‌ی تبلیغاتی با نام H۵GameCenter است.
برنامه‌ی H۵GameCenter یک جعبه‌ی کوچک تبلیغاتی را در بالای برنامه‌های در حال اجرا نمایش می‌دهد و گزینه‌ای برای غیرفعال کردن آن وجود ندارد.حتی اگر قربانی این برنامه را به‌طور کامل حذف کند، ثابت‌افزار آلوده و مخرب مجدداً آن را نصب خواهد کرد.

ماه گذشته محققان امنیتی از شرکت Kryptowire یک دربِ پشتی مخفی در تلفن‌ همراه ارزان‌قیمت که در آمریکا به فروش می‌رسید کشف کردند. این دربِ پشتی بر روی دستگاه آلوده به جمع‌آوری اطلاعات قربانی می‌پرداخت و بدون اطلاع قربانی این داده‌ها را برای یک کارگزار در چین ارسال می‌کرد. این دربِ پشتی در داخل ثابت‌افزارها، توسط یک شرکت چینی به نام Shanghai AdUps Technology توسعه داده شده بود و ادعا می‌شد این نرم‌افزار بر روی ۷۰۰ میلیون دستگاه در سراسر دنیا به‌روزرسانی انجام می‌دهد.

ماه گذشته در یک تحقیق جداگانه شرکت BitSight یک آسیب‌پذیری بر روی ثابت‌افزار Ragentek را کشف کرد. این ثابت‌افزار در بسیاری از دستگاه‌های ارزان‌قیمت اندرویدی استفاده شده بود. این آسیب‌پذیری به مهاجم اجازه‌ی اجرای کد از راه دور با امتیازات ویژه را می‌داد و کنترل کامل دستگاه در اختیار نفوذگر قرار می‌گرفت.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap