گوشیهای تلفن همراه و تبلتهای ارزان قیمت مشخصی، به یک firmware بدذات آلوده شدهاند، که به صورت مخفیانه اطلاعات مربوط به دستگاههای آلوده شده را جمعآوری کرده، تبلیغاتی را در هنگام اجرای نرمافزارها نمایش میدهند و فایلهای ناخواسته APK را بر روی سیستم قربانی دانلود میکنند.
محققان امنیتی آنتیویروس روسی Dr.Web دو نوع تروجان بارگیری کننده(۱) را کشف کردند[۱]، که در firmware های تعدادی زیادی از دستگاههای اندروید پرطرفدار و دارای پلتفرم MediaTek، که در بازارهای کشور روسیه در دسترس هستند، گنجانیده شده بودند.
این تروجانها، به صورت Android.DownLoader.473.origin و Android.Sprovider.7 شناسایی شده بودند و قابلیت جمعآوری اطلاعات درباره دستگاههای آلوده شده، ارتباط برقرار کردن با سرورهای فرمان و کنترل، بهروزرسانی خودکار، دانلود و نصب مخفیانه برنامهها بر اساس دستورالعملی که از سرور خودشان دریافت میکنند، را دارند و هر بار که دستگاه موردنظر راهاندازی مجدد شده و یا روشن میشوند، اجرا میشوند.
لیست مدلهای دستگاههای اندروید که توسط این firmware بدذات آلوده شدهاند در اینجا آورده شده است:
Lenovo A319, Lenovo A6000, MegaFon Login 4 LTE, Bravis NB85, Bravis NB105, Irbis TZ85, Irbis TX97, Irbis TZ43, Irbis tz56, Pixus Touch 7.85 3G, SUPRA M72KG, SUPRA M729G, SUPRA V2N10, Itell K3300, Digma Plane 9.7 3G, General Satellite GS700, Nomi C07000, Optima 10.1 3G TT1040MG, Marshal ME-711, 7 MID, Explay Imperium 8, Perfeo 9032_3G, Prestigio MultiPad Wize 3021 3G, Prestigio MultiPad PMT5001 3G, Ritmix RMD-1121, Oysters T72HM 3G, Irbis tz70, and Jeka JK103
محققان توضیح میدهند: “این مشخص است که مجرمان اینترنتی درآمد خود را از طریق افزایش آمار دانلود نرمافزارها و با گسترش دادن نرمافزارهای تبلیغاتی به دست میآورند. بنابراین، هر دوی این تروجانها داخل firmware اندروید گنجانیده شدهاند به این دلیل که سازندگان آنها میخواهند از این طریق کسب درآمد کنند.”
تروجان Android.Sprovider.7 بر روی firmware گوشیهای هوشمند مدل Lenovo A319 و Lenovo A6000 کشف شده بود. این تروجان قابلیتهای ذیل را داراست:
- دانلود، نصب و اجرای فایلهای APK
- باز کردن لینکهای مشخص در یک مرورگر
- برقراری تماس با شماره تلفنهای مشخص توسط استفاده از نرمافزار سیستمی استاندارد
- نشان دادن تبلیغات بر روی تمامی نرمافزارها
- نشان دادن تبلیغات در نوار وضعیت
- ایجاد میانبرها در صفحه اصلی
- بهروزرسانی کردن ماژولهای بدذات
از طرف دیگر تروجان Android.DownLoader.473.origin بر روی بقیه دستگاهها پیدا شده است که دیگر برنامههای بدذات و نرمافزارهای ناخواسته را شامل برنامه تبلیغاتی با نام H5GameCenter را دانلود و نصب میکند.
نرمافزار H5GameCenter یک عکس جعبه کوچک را بر روی تمامی نرمافزارهای اجرا شده نمایش میدهد و هیچ گزینهای برای غیرفعال کردن آن وجود ندارد. حتی اگر کاربر آلوده شده این نرمافزار را به طور کامل پاک کند، تروجان firmware مجدداً این نرمافزار را نصب خواهد کرد.
ماه گذشته، محققان امنیتی از شرکت Kryptowire یک backdoor مخفی را در firmware گوشیهای هوشمند همراه دارای سیستمعامل اندروید که در کشور آمریکا فروخته میشدند، کشف کردند که به صورت مخفیانه از روی گوشیهای همراه صاحبان آنها اطلاعات را جمعآوری میکردند و بدون آگاهی دادن به کاربران، این اطلاعات را به سرورهای چینی میفرستادند.
در یک تحقیق انجام شده در ماه گذشته، شرکت امنیتی BitSight یک عیب در Ragentek firmware کشف کرد که توسط دستگاههای اندروید دارای قیمت پایین استفاده میشد و به مهاجمان اجازه میداد تا از راه دور کد دلخواه بدذات خود را با سطح دسترسی ریشه اجرا کنند و از این طریق کنترل کامل دستگاه فرد قربانی را در اختیار میگرفتند.
منابع
[۱] http://news.drweb.com/show/?i=10345&lng=en
[۲] http://thehackernews.com/2016/12/hacking-android-smartphone.html
(۱) downloader Trojans
ثبت ديدگاه