کشف بدافزار LevelDroper در گوگل پلی که به‌صورت خودکار دستگاه را روت می‌کند!

گوگل مدت‌هاست که اقدامات امنیتی خاص خود را به کار گرفته تا بدافزارها را از بازار اندروید متعلق به این شرکت، گوگل پلی حذف کند؛ اما این نرم‌افزارهای مخرب هنوز هم قادر هستند از این سامانه‌های دفاعی گذر کرده و به این بازار راهی پیدا کنند.

بدافزار LevelDropper آخرین نمونه از چنین بدافزارهایی است، این بدافزار از طریق گوگل پلی توزیع می‌شود، اما نیت خوبی ندارد و می‌تواند به‌صورت مخفیانه دستگاه‌هایی را که بر روی آن‌ها نصب می‌شود، روت کند. به گفته‌ی محققان شرکت امنیتی Lookout که این بدافزار را کشف کرده‌اند، این برنامه نشان‌دهنده‌ی یک روند جدید و مداوم در تهدید علیه گوشی‌های همراه است که به نام «بدافزارهای روت خودکار» نامیده می‌شوند.

کالین اشترایشر از شرکت Lookout می‌گوید که اگرچه در ابتدا به نظر می‌رسد که این برنامه بی‌ضرر باشد، اما بعد از اینکه یک تجزیه‌وتحلیل عمیق بر روی دستگاه صورت می‌گیرد، رفتار مخرب آن کشف می‌شود. بدافزار LevelDropper دارای فعالیتی مخرب است، چرا که قادر است به‌صورت آرام و مخفی دستگاه را روت کند، این کار به او اجازه می‌دهد تا عملیاتی دیگری را انجام دهد که بدون روت کردن و افزایش امتیاز توان انجام آن‌ها را نداشت.

آنچه که محققان شرکت Lookout کشف کرده‌اند این است که این بدافزار دستگاه را روت می‌کند تا بتواند برنامه‌های دیگری را در آن نصب کند. محققان می‌گویند که ۳۰ دقیقه بعد از اینکه این بدافزار برای اولین بار بر روی دستگاه قربانی اجرا شد، ۱۴ نرم‌افزار جدید بدون هیچ‌گونه دخالت کاربر بر روی آن نصب می‌شوند.

به‌محض اینکه این نرم‌افزار اجرا شود، پنجره پیام خدمات مکان‌یابی LocationServices به‌صورت خالی ظاهر می‌شود که نشان‌دهنده از کار افتادن بالقوه آن است و مهاجم می‌تواند از آن برای افزایش سطح دسترسی خود استفاده کند. در این نمونه، مهاجمان برنامه را به شکلی طراحی کرده‌اند که بتواند به مدیریت بسته‌ها در ریشه دسترسی داشته باشد زیرا این تنها راهی است که به‌وسیله‌ی آن می‌توانند بدون دخالت و هشدار کاربر برنامه‌ها را نصب کنند.

محققان شرکت Lookout می‌گویند: «این برنامه هرگز به کاربر نمی‌گوید که قصد دارد برنامه‌های دیگری را نصب کند که نشان‌دهنده این است که این برنامه دارای دسترسی ریشه است. هیچ برنامه‌ای نمی‌تواند برنامه‌های دیگری را بارگیری و نصب کند، مگر اینکه دارای دسترسی ریشه به مدیریت بسته‌ها باشد.»

همچنین شرکت Lookout می‌گوید که دستگاه‌های آلوده هیچ‌گونه علائم خاصی را از خود نشان نمی‌دهند که این هم نشانه دسترسی به ریشه و استفاده از دودویی کاربر ممتاز superuser و نوشتن دوباره‌ی اسکری‍پت «install-system-recovery» است. با این حال آنچه که آن‌ها کشف کرده‌اند این بوده است که پارتیشن ریشه دستگاه قابل نوشتن است، در حالی که در حالت معمول تنها قابل خواندن است تا نتوان آن را دست‌کاری کرد.

علاوه بر این، با نگاهی دقیق‌تر به پرونده‎های دودویی که حاوی بسته‌های نرم‌افزار هستند می‌توان دو بهره‌برداری افزایش دسترسی را پیدا کرد که در کنار برخی از پرونده‎های بسته‌های حمایت‌کننده از آن‌ها نظیر SuperSu ،bustybox و supolicy قرار دارند. هر دو این بهره‌برداری‌ها از کدهای اثبات مفهومی در دسترس عموم استفاده می‌کنند تا به ریشه دستگاه روی دستگاه‌های در خطر دسترسی پیدا کنند. همچنین محققان می‌گویند که LevelDropper دارای APK های اضافی نیز هستند که از سطح دسترسی ریشه استفاده می‌کنند تا به نمایش تبلیغات مزاحمی ب‍پردازند که به‌سختی ممکن است بتوان از آن‌ها جلوگیری کرد.

نرم‌افزارهای مخربی که به‌صورت خودکار دستگاه‌ها را در معرض خطر قرار می‌دهند؛ قبلاً نیز مشاهده شده‌اند همچون بدافزارهای ShiftBuy ،Shauanet ،Shedun و Brain Test که سال گذشته از بازار گوگل پلی حذف شدند اما در ماه ژانویه دوباره بازگشتند. این برنامه‌ها همچون LevelDropper نه‌تنها دستگاه‌ها را روت می‌کنند، بلکه برنامه‌های اضافی نیز بر روی آن‌ها نصب می‌کنند.

محققان می‌گویند: در حاضر به نظر می‌رسد که این برنامه‌ها برای کسب درآمدهای تبلیغاتی به کار گرفته می‌شوند. در مواردی همچون این مورد، توسعه‌دهندگان معمولاً از عملکردهای روت خودکار استفاده می‌کنند تا به نصب برنامه‌هایی بپردازند که هم موجب امتیاز افزایش محبوبیت برای این نرم‌افزارها شده و هم موجب کسب درآمد تبلیغاتی می‌شود. برنامه‌‌ی ذکرشده‌ی Brain Test برای این طراحی شده بود که به بارگیری و نوشتن مطالب مثبت در مورد سایر نرم‌افزارهای مخرب در گوگل پلی بپردازد.

اکنون LevelDropper یک نمونه‌ی دیگر از برنامه‌هایی است که موفق شده است تا باوجود تلاش‌های گوگل برای جلوگیری از ورود نرم‌افزارهای مخرب، به درون بازار گوگل پلی راه پیدا کند. هفته‌ی گذشته، محققان شرکت ترند میکرو در مورد بدافزاری به نام Godless هشدار دادند که یک برنامه تلفن همراه بود که از چندین بهره‌برداری دسترسی به ریشه استفاده می‌کرد و تاکنون بیش از ۸۵۰ هزار دستگاه را در سراسر جهان از طریق بازارهای مختلف گوشی‌های هوشمند تلفن همراه نظیر گوگل پلی آلوده کرده است.

    منبع: asis

    درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.