پس از پیدایش[۱و۲] باجگیر افزارهای WannaCry و Petya یک نوع باجگیر افزار ترسناک اما خلاقانه از طریق نرمافزارهای جعلی در Google Play Store در حال گسترده شدن است و کاربرانِ دارای سیستمعامل اندروید را مورد هدف قرار میدهد.
این باجگیر افزار که LeakerLocker نامیده شده است، برخلاف دیگر باجگیر افزارها، فایلهای قرار گرفته بر روی سیستم فرد قربانی را رمزگذاری نمیکند و بهجای این کار بهصورت مخفیانه عکسهای شخصی، پیامها و تاریخچه مرورگر شخص قربانی را ذخیره کرده و او را تهدید میکند که اگر مبلغ باج درخواستی به میزان ۵۰ دلار (یا ۳۸ پوند) را پرداخت نکند، این اطلاعات ذخیرهشده را برای تمامی لیست مخاطبین ارسال میکند.
محققان در شرکت امنیتی McAfee باجگیر افزار LeakerLocker را حداقل در دو نرمافزار به نامهای Booster & Cleaner Pro و Wallpapers Blur HD در Google Play Store مشاهده کردند که هردوی آنها هزاران بار دانلود شده بودند[۳].
بهمنظور مخفی نگهداشتن فعالیتهای مخربش، این باجگیر افزار در ابتدا حاوی هیچگونه payload مخربی نیست و عملکرد آن مانند دیگر برنامههای قانونی است.
اما هنگامیکه توسط کاربر و بر روی سیستم موردنظر نصب میشود، این برنامهها کد مخرب را از سرور فرمان و کنترل بارگذاری میکنند که این کد مخرب به نرمافزار مربوطه دستور میدهد تا حجم عظیمی از اطلاعات حساس را از گوشی همراه فرد قربانی جمعآوری کنند. این اتفاق بهاینعلت رخ میدهد که فرد قربانی بهصورت ندانسته و در هنگام نصب این نرمافزارها، مجوزهای غیرضروری برای آنها صادر کردهاند.
باجگیر افزار LeakerLocker در مرحله بعدی صفحه اصلی تلفن همراه آلوده شده را قفل کرده و یک پیام نمایش میدهد که شامل جزئیات اطلاعاتی است که ادعاشده دزدیده شده است و همچنین دستورالعملی که چگونه باید مبلغ باج درخواستی از طرف فرد قربانی پرداخت شود برای اینکه از پاک شدن اطلاعات شخصی و عدم افشا شدن آنها اطمینان حاصل کند.
متن پیام صادرشده توسط این باجگیر افزار در اینجا آورده شده است:
“تمام اطلاعات شخصی از گوشی هوشمند شما به Cloud امن ما منتقل شده است. در کمتر از ۷۲ ساعت این اطلاعات بهتمامی لیست مخاطبین شما که درگوشی شما ذخیره شده بودند ارسال خواهد شد. بهمنظور جلوگیری از ارسال شدن این اطلاعات، شما باید مبلغ ناچیز ۵۰ دلار (۳۸ پوند) را پرداخت کنید. لطفاً توجه داشته باشید که هیچ راهی برای پاک کردن اطلاعات شما از Cloud ایمن ما وجود ندارد مگر اینکه شما مبلغ باج درخواست شده را پرداخت نمایید. خاموش کردن یا نابود کردن گوشی همراه شما اثری بر روی اطلاعات ذخیرهشدهی شما بر روی Cloud ما ندارد.”
همچنین این باجگیر افزار ادعا میکند که یک نسخه پشتیبان نیز از تمامی اطلاعات شما تهیهکرده است، که شامل عکسهای شخصی، شماره تلفنهای مخاطبین، پیامکها، تماسها و موقعیتهای GPS شما و تاریخچه مرورگر شماست. اما محققین اعتقاد دارند که مقدار کمی از اطلاعات حساس کاربران توسط این باجگیر افزار ذخیره میشود.
بر طبق گفته محققان، باجگیر افزار LeakerLocker میتواند آدرس email، لیست مخاطبان، تاریخچه مرورگر Chrome، بعضی از پیامکها و تماسها و بعضی از اطلاعات حساس کاربران آلودهشده را بخواند و از طریق دوربین گوشی همراه آلودهشده اقدام به عکسبرداری نماید.
تمامی اطلاعات ذکرشده بهصورت تصادفی انتخاب میشوند تا بر روی صفحهنمایش شخص قربانی نمایش داده شوند و این اطلاعات بهاندازه کافی قانعکننده هستند که قربانی گمان کند اطلاعات بسیار زیادی از گوشی همراهش دزدیده شده است.
به نظر میرسد هردوی نرمافزارهای مخرب یادشده توسط گوگل و از روی Play Store حذف شدهاند اما این احتمال وجود دارد که مهاجمان سعی کنند قابلیتهای این نرمافزارها را به دیگر نرمافزارها منتقل کنند.
اگر شما هرکدام از نرمافزارهای نامبرده شده را بر روی گوشی خود نصب کردهاید، بلافاصله آنها را از روی گوشی خود پاک کنید.
اما اگر شما توسط این باجگیر افزار آلوده شدهاید و نگران منتشر شدن عکسهای شخصی خود و در اختیار قرار گرفتن آنها به دوستان و نزدیکان خود هستید، شاید شما در حال فکر کردن برای پرداخت مبلغ باج درخواستی باشید.
باج درخواست شده را پرداخت نکنید! انجام دادن این کار مجرمان اینترنتی را تشویق میکند تا حملات مشابهی را پیادهسازی کنند و همچنین هیچگونه تضمینی وجود ندارد که اطلاعات دزدیده شده از شما توسط مهاجمان و از روی سرورهایشان پاک شود و در آینده بهمنظور اخاذی مجدد از قربانیان استفاده نشود.
منابع
[۱] https://apa.aut.ac.ir/?p=2580
[۲] https://apa.aut.ac.ir/?p=2723
[۳]https://securingtomorrow.mcafee.com/mcafee-labs/leakerlocker-mobile-ransomware-acts-without-encryption
[۴] http://thehackernews.com/2017/07/leakerlocker-android-ransomware.html
ثبت ديدگاه