کارگزارهای کنار گذاشته شده‌ی C&C موبایل، فرصتی حیّ و حاضر برای مهاجمان

۵زمانی که برنامه‌نویسان برنامه‌های کاربردی موبایل را می‌نویسند، تنها کدهای مربوط به عملکرد برنامه را در آن نمی‌گنجانند، بلکه کیت‌های توسعه‌داده‌ شده‌ی برنامه‌های شخص ثالث برای تبلیغات، تجزیه و تحلیل و کارهای دیگری را نیز در کدهای خود جای می‌دهند.
بزرگ‌ترین عملکرد SDK۱ ها برقراری ارتباط با یک کارگزار مرکزی و دریافت دستورات و محتوا است اما محققان دریافتند که بسیاری از این کارگزارها کنار گذاشته شده‌اند و نمونه‌های سالمی از آن‌ها برای ثبت‌نام و برای خرید در شرکت GoDaddy مورد استفاده قرار گرفته‌اند.

این یک فرصت بزرگ برای مهاجمان است تا کدهای مخرب خود را بر روی این کارگزارها قرار داده و به دستگاه‌های اندروید و iOS آسیب بزنند.
ژی خو۲ در کنفرانس بین المللی بولتن ویروس گفت: «صدها نمونه از این شرکت‌های استارتاپ SDK در یک دوره راه‌اندازی شدند. اما بسیاری از این استارتاپ‌ها از بین رفتند و کسی از این زیرساخت‌ها نگهداری نکرد. بخش بزرگی از این زیرساخت در حال حاضر نگهداری نمی‌شود. اگر این زیرساخت نگهداری نشود، برنامه‌های دارای این SDK ها تلاش خواهند کرد با کارگزار مرکزی خود ارتباط برقرار کرده و دستورات و محتوا را دریافت کنند ولی هیچ پاسخی دریافت نخواهند کرد. به محض اینکه این دامنه‌ها منقضی شوند، مهاجم می‌تواند این دامنه‌ها و زیرساخت را در دست گرفته و دستورات و محتوای مخرب ارسال کند.»

محققان مقاله با نام «مواظب باشید! زامبی‌ها می‌آیند.» چاپ کرده‌اند که نه تنها خطرات را توضیح می‌دهد، بلکه کمیت تعداد دامنه زامبی‌های رها شده را نیز برآورد می‌کند.
خو گفت محققان ۲.۸ میلیون نمونه برنامه‌ی APK را بررسی کرده‌اند که از ۵۷۵ هزار دامنه‌ی ریشه‌ی منحصربفرد استفاده می‌کنند. البته ۶۵ هزار نمونه از آن‌ها پاسخی نمی‌دهند و به‌عنوان زامبی در نظر گرفته شده‌اند و ۳۳ هزار نمونه نیز توسط GoDaddy قابل دسترس هستند.
محققان همچنین رفتار مشتریان قانونی و مخرب را در استفاده آن‌ها از پروتکل‌های از پیش تعریف‌شده در ارتباط با یک کارگزار اصلی، مورد مطالعه قرار دادند. آن‌ها متوجه شدند که هر دو دسته رفتار مشابهی را نشان می‌دهند و علاقه به استفاده از سرویس‌هایی همچون مدیر تلفن، سرویس‌های مکان‌یابی، پیام کوتاه و مدیریت حساب دارند.

خو گفت: «این مسئله فقط بستگی به این دارد که دامنه‌ی اصلی را چه کسی کنترل می‌کند و تصمیم می‌گیرد که چه کار خوب یا بدی را انجام دهد.»
محققان گفتند هنگامی که یک مهاجم اقدام به خرید و کنترل یک دامنه زامبی نماید، می‌تواند دوباره کانال ارتباطی اصلی را اجرا کرده و امتیازات همان مدیریت قبلی را بدست آورد. به‌عنوان مثال کتابخانه‌های تبلیغات تهاجمی، می‌توانند شروع به جمع‌آوری اطلاعات مکانی در کنار اطلاعاتی که از وسیله‌ی قربانی همچون نوع و اطلاعات IMSI بدست می‌آورد بکند تا تبلیغات را به شماره‌ی درستی ارسال کند. مهاجم همچنین می‌تواند به‌طور خودکار از طریق این کانال، برنامه یا کد مخرب را به شماره‌ی کاربر ارسال کند. مهاجم می‌تواند قابلیت جاوا اسکریپت را در Webview فعال کند تا تبلیغات به‌طور خودکار نمایش داده شده و همچنین بتواند قابلیت اجرای کد از راه دور را داشته باشد.

محقق دیگری با نام لو بیان کرد: «دامنه‌هایی که برنامه‌های کاربردی HTML۵ را کنترل می‌کنند، به‌طور بالقوه در معرض خطر بیشتری هستند چرا که این برنامه‌ها از طریق کانال، تزریق و اجرای برنامه‌های جاوا اسکریپت را نیز پشتیبانی می‌کنند. همچنین در این برنامه‌ها امکان بهره‌برداری از میان‌افزارهایی۳ همچون PhoneGap و RhoMobile که از محتوای وب غنی‌تری پشتیبانی می‌کنند، وجود دارد.»

لو ادامه داد: «به‌عنوان مثال PhoneGap افزونه‌هایی را نصب می‌کند که از انتقال پرونده، واسط رایانامه و پیامک، قابلیت اجرای کد از طریق دستورات شِل و ویژگی‌های LaunchMyApp پشتیبانی می‌کند.»
پژوهشگران توضیح دادند که یک برنامه مانند RogueSports است که هنوز هم از طریق Google Play و App Store و از طریق بازار تلفن ویندوز در دسترس است و از سال ۲۰۱۴ به‌روزرسانی نشده است و از طریق GoDaddy به قیمت ۱۲ دلار به فروش می‌رسد. مهاجمان می‌توانند کدهای مخرب نوشته شده در جاوا اسکریپت را تزریق کنند که می‌تواند بر روی دستگاه اجرا شود و به مهاجم اجازه خواهد داد یک iframe جاسازی کرده، مدارک و داده‌های دیگر را به سرقت ببرد و یا بدافزار را راه‌اندازی کنند.

خو گفت: « این مهم است که درک کنید که یک SDK قانونی و زیرساخت‌های دستور و کنترل آن می‌تواند خطرناک باشد. قبل از اینکه مجوزها را به یک برنامه بدهید، تمام مؤلفه‌های آن را در بخش تشخیص بدافزار برای دیدن SDK ها بررسی کنید که تا زیرساخت دستور و کنترل آن بدون مدیریت باقی نمانده باشد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.