رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش
۱۳۹۷-۰۸-۱۰ ۱۲:۴۵
تنظیم اندازه قلم

پ

۱:۵۵

سرقت اطلاعات از پیام‌رسان‌های محبوب توسط بدافزارهای اندرویدی جدید

امروزه تقریباً تمام پلت فرم‌های پیام‌رسان‌های فوری مانند فیسبوک، توییتر، اسکایپ، لاین و وایبر توسط نرم‌افزارهای مخرب مورد هدف قرار می‌گیرند.

محققان شرکت امنیت سایبری Trustlook Labs، تروجان اندرویدی جدیدی را شناسایی کرده‌اند که اطلاعات کاربران را از تمامی برنامه‌های پیام‌رسان اصلی موبایلی سرقت می‌کنند که لیست این برنامه‌ها در زیر آمده است:
Twitter
Skype
Viber
Weibo
Line
Coco
BeeTalk
Tencent WeChat
Gruveo Magic Call
Telegram Messenger
Facebook Messenger
Voxer Walkie-Talkie Messenger
TalkBox Voice Messenger Momo

AndroidPIT-best-messenger-apps-5_0.jpg

بر اساس گزارش محققان، این بدافزارها به‌طور موثر می‌توانند فایل‌های پیکربندی و برخی از ماژول‌های برنامه‌ها را برای جلوگیری از تشخیص پنهان کنند. محققان اظهار داشتند که این بدافزارها از قبل کشف نشده‌اند و قابلیت‌های محدودی نیز دارند. وظیفه اصلی آن جمع‌آوری داده‌های حساس کاربران از برنامه‌های پیام‌رسان فوری و مشتریان این پیام‌رسان‌ها است.

هنگامی که نرم‌افزار مخرب با موفقیت یک برنامه را آلوده می‌کند، فایل "/system/etc/install-recovery.sh" را تغییر داده و سپس هر بار که برنامه آلوده باز می‌شود، فایل مخرب اجرا می‌شود. تروجان برای جلوگیری از تجزیه و تحلیل پویا و پنهان کردن رشته‌ها، از روش‌های ضد شبیه‌ساز و اشکال‌زدایی استفاده می‌کند. در برخی از ماژول‌ها مانند  "sx"،"sy"،"coso"،"dmnso"، بدافزار از اولین بایت ماژول برای رمزگشایی داده‌ها از XOR استفاده می‌کند.

malware.jpg

به عنوان مثال، ماژول اصلی "coso" در پوشه Assets پس از رمزگشایی، به یک ماژول ELF تبدیل می‌شود و کلیه اطلاعات در مورد سرور C&C و دیگر خواص بدافزار در فایل پیکربندی ذخیره می‌شود. این فایل درهر ارتباط برقرار شده با نرم‌افزار مخرب، توسط بدافزار دیده می‌شود، سپس داده‌های به سرقت رفته، از راه دور به یک سرور منتقل می‌شود. این یک طراحی بسیار ساده و مستقیم با یک رویکرد حمله یک‌طرفه می‌باشد. با این حال، تکنیک‌های گریز از قبول آن بسیار پیشرفته است که برای برنامه‌های آنتی‌ویروس مشکل‌ساز می‌باشد.

Android-Malware-640x360.png
با توجه به هدف منحصر به فرد این تروجان اندرویدی که اقدام‌به سرقت داده‌ها می‌نماید، واضح است که کنترل کننده‌های نرم‌افزارهای مخرب، نیاز به جمع‌آوری اطلاعات حساس مبادله شده در مکالمات خصوصی دارند. این اطلاعات می‌تواند شامل تصاویر و فیلم‌های خصوصی نیز باشد که ممکن است بعداً جهت اخاذی مورد سوء استفاده قرار گیرد.
در پایان می‌توان گفت که روش توزیع  این بدافزار هنوز برای محققان ناشناخته است. طبق گفته Trustlook Labs، این بدافزار در ماژول ابری یک برنامه چینی کشف شده، در حالی که بسته‌ای که حاوی این بدافزار بود، به عنوان com.android.boxa شناسایی شد.

ترجمه: وحید فرجی ملکشاه

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط