سوءاستفاده‌ی بدافزار اندرویدی از تنظیمات دیوار آتش و سد کردن راه ضدبدافزارها

پژوهش‌گران شرکت سیمنتک بدافزار جدیدی را کشف کردند که با نفوذ به دیوار آتش سامانه‌ای به نام DroidWall در دستگاه‌ها از اتصال نرم‌افزارهای امنیتی به خدمات خود جلوگیری می‌کنند.
این نرم‌افزار که به وسیله‌ی سیمنتک Android.Spywaller نام‌گذاری شده است، همچون سایر تهدیدها در تلفن‌های همراه تلاش می‌کند تا آیکون خود را مخفی کند و با آزادسازی حداکثر بار رمزگذاری‌شده‌ی خود که شامل خدمات سرویس این بدافزار است و بارگذاری آن روی حافظه، رد پای خود را مخفی می‌کند. هنگامی که این بدافزار روی دستگاه‌ قربانی نصب می‌شود، آیکونی را با عنوان خدمات گوگل روی دستگاه نشان می‌‌دهد در حالی‌که این غول اینترنتی چنین محصولی را ارائه نمی‌کند.
سیمنتک در یکی از پست‌های بلاگ خود اعلام کرده است که این بدافزار شروع به روت‌کردن دستگاه کرده و اطلاعات حساس را در پشت صحنه دست‌کاری می‌کند. همه‌ی اطلاعاتی که این بدافزارها از دستگاه جمع‌آوری می‌کند به یک کارگزار فرستاده می‌شود.
با وجودی که این رفتار در تهدیدهای دیگر دستگاه‌های تلفن همراه نیز دیده شده بودند، اما محققان سیمنتک اظهار می‌کنند که این بدافزار جدید به شیوه‌ی دیگری نیز کشف شده است به این معنی که در بارگذاری خود سامانه‌ را بررسی می‌کند که آیا نرم‌افزار امنیتی همراه Qihoo ۳۶۰ روی آن نصب شده است و اگر نصب شده باشد آن را مسدود کند.
نرم‌افزار Qihoo ۳۶۰ در چین رواج بسیاری دارد و در هر دستگاه دارای یک شناسه‌ی منحصر‌به‌فرد است UID و در صورتی که این نرم‌افزار نصب شده باشد، بدافزار این شناسه را هم جمع‌آوری می‌کند. سپس Android.Spywaller بروی دیوار آتش DroidWall قرار می‌گیرد که نسخه‌ی اندرویدی دیوار آتش iptables است. این کار به این بدافزار اجازه می‌دهد تا تنظیمات این دیوار آتش را به گونه‌ای تنظیم کند تا بتواند نرم‌افزارهای امنیتی را با مسدود کردن دسترسی آن‌ها به سرویس‌هایشان با استفاده از این دیوار آتش مورد هجوم قرار دهد. DroidWall که توسط Rodrigo Rosauro به عنوان یک نرم‌افزار متن‌باز برای حفاظت از کاربران در دستگاه‌های خود توسعه یافته بود، در سال ۲۰۱۱ به شرکت AVAST فروخته شد، اما کدهای منبع آن هنوز در وب‌گاه‌‌های Google Code و یا گیت‌هاب‌ در دسترس است. با این وجود چون در ابتدا به عنوان یک ابزار امنیتی توسعه یافته بود به وسیله‌ی مجرمان فضای اینترنتی برای به خطر انداختن امنیت کاربران به کار گرفته می‌شود.
در حال حاضر این بدافزار کاربران را در چین مورد هدف قرار داده است یعنی جایی که سهم بزرگی از دستگاه‌ها روت شده است و به دلیل این‌که سرویس‌های رسمی گوگل در این کشور در دسترس نیستند دستگاه‌های بیشتری می‌توانند در خطر حمله قرار بگیرند.
به علاوه برای مسدود کردنQihoo ۳۶۰ این بدافزار سعی می‌کند تا اطلاعات حساس را از دستگاه‌های مورد حمله خارج کند که شمال اطلاعات شناسایی شخصی مبتنی بر سامانه‌ PII مانند سابقه‌ی تلفن‌ها و پیامک‌ها و سوابق GPS و اطلاعات مرورگر سامانه‌، رایانامه‌ها، رادیو، تصاویر و مخاطبین می‌باشند.
در همین زمان این نرم‌افزار جاسوسی داده‌های مربوط به نرم‌افزارهای ارتباطی شخص ثالث را جمع‌آوری می‌کند که شمال نرم‌افزارهایی چون BlackBerry Messenger ،Oovoo ،Coco ،QQ ،SinaWeibo، اسکایپ، Talkbox TencentWeibo،Voxer، وی‌چت، واتس‌اپ و Zello هستند.
بر طبق اعلام شرکت سیمنتک فهرست داده‌های جمع‌آوری‌شده توسط این بدافزار در میان کامل‌ترین مجموعه‌ی‌ نرم‌افزارهای جاسوسی تا به امروز قرار دارند.
میزان آلودگی به این بدافزار در حال حاضر نسبتاً پایین است، اما این تهدید از این جهت دارای اهمیت است که سازنده‌ی آن از ابزارهای قانونی برای اهداف بدافزاری خود استفاده کرده است. برای این‌که در برابر این بدافزار محافظت صورت گیرد، کاربران باید به نصب یک راه‌حل امنیتی اقدام کنند که قادر باشد تهدیدات گوشی‌های همراه را مسدود کند و همواره نرم‌افزارهای گوشی را به روز نگه دارند و مطمئن شوند که نرم‌افزارها را از یک منبع موثق نصب می‌کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.