Header_EN_1005_Dangerous-New-Android-Malware-Discovered
۵ اردیبهشت ۱۳۹۷

کشف بدافزار اندرویدی که تماس‌های صوتی شما را ضبط می کند و داده های خصوصی را می دزدد

محقّقان امنیتی Cisco Talos، نوع دیگری از یک تروجان اندرویدی جدید، که خود را با عنوان جعلی یک برنامه کاربردی آنتی ویروس به نام “Naver Defender”  نشان داده اند و توزیع شده‌اند، کشف کرده اند. این بدافزار که KevDroid نام دارد، یک ابزار مدیریتی از راه دور (RAT) است که برای سرقت اطلاعات حساس از دستگاه‌های اندرویدی به خطر افتاده طراحی شده‌است. این بدافزار، همچنین قادر به ضبط تماس‌های تلفنی می‌باشد.
Malware-Panic
محقّقان Talos، جزئیات فنی دو نوع از بدافزار KevDroid را منتشر کرده‌اند. اگرچه محقّقان، این تروجان را به هیچ گروه هک تحت حمایت کشوری نسبت نداده‌اند، رسانه‌های کره جنوبی، KevDroid را به گروه هک و جاسوسی سایبری تحت حمایت دولت کره شمالی “Group 123” ، انتساب داده‌اند. آن‌ها هدف این بدافزار را در ابتدا حمله به کاربران کره جنوبی دانسته‌اند. آخرین نسخه بدافزار KevDroid، که در ماه مارس امسال شناسایی شده دارای قابلیت‌های زیر است:
  • ضبط تماس‌های صوتی
  • سرقت تاریخچه وب و فایل‌ها
  • به دست آوردن دسترسی ریشه
  • سرقت گزارش‌های تماس، پیامک و ایمیل‌ها
  • به دست آوردن موقعیت کاربر در هر ۱۰ ثانیه
  • فراهم کردن لیستی از برنامه‌های کاربردی نصب‌شده
تروجان، از یک کتابخانه منبع باز که در GitHub موجود است، استفاده می‌کند تا قابلیت ضبط تماس‌های دریافتی و خروجی از دستگاه اندرویدِ به خطر افتاده را به دست آورد. سپس تمام اطلاعات سرقت شده، به یک سرورِ کنترل و فرمان (C2) ، تحت کنترل مهاجم که در یک شبکه جریان داده‌ای عمومی PubNub میزبانی شده‌است، ارسال می‌شود. این کار، با استفاده از درخواست HTTP POST انجام می‌شود. اگر چه هر دو نمونه بدافزار کشف شده، قابلیت های مشابهی از سرقت اطلاعات دستگاه آسیب دیده و ضبط تماس تلفنی قربانی دارند، یکی از آن‌ها دارای قابلیت خطرناک‌تر دسترسی به ریشه است. در واقع، این نوع بدافزار از آسیب‌پذیری شناخته شده سیستم‌های اندرویدی با کد شناسایی CVE-2015-3636 جهت دسترسی به ریشه استفاده می کند. به گفته‌ی Talos، اگر یک دشمن در دستیابی به برخی از اطلاعات، موفق باشد، KavDroid قادر است آن‌ها را جمع‌آوری کند. این امر می‌تواند بسیاری از مسائل مربوط به قربانی را تحت تأثیر قرار دهد. نشت داده‌ها، می‌تواند منجر به مسائلی مانند آدم ربایی، اخاذی با استفاده از عکس‌ها یا اطلاعات سرّی، دسترسی به چندین عامل نشانه، پیامدهای بانکی/مالی و دسترسی به اطلاعات مهم که ممکن است از طریق ایمیل‌ها یا متن‌ها باشد، شود. بسیاری از کاربران، از طریق تلفن همراه به ایمیل شرکت خود دسترسی دارند. این امر می‌تواند، سبب جاسوسی سایبری از طریق KavDroid شود. محقّقان، یکی دیگر از ابزارهای مدیریتی از راه دور (RAT) که برای هدف قرار دادن کاربران ویندوزی، طراحی شده است، کشف کردند. این بدافزار، سرور کنترل و فرمان را به اشتراک می‌گذارد و همچنین از PubNub API برای ارسال دستورات به دستگاه‌های به خطر افتاده، استفاده می‌کند. چگونه گوشی هوشمند خود را امن نگه داریم؟ توصیه می‌شود که کاربران اندروید به طور مرتب برنامه‌های نصب شده روی تلفن همراه خود را چک کنند و در صورت مشاهده هرگونه برنامه ی مخرب ، ناشناخته و غیرضروری که در لیست برنامه‌ها، بدون اطلاع یا موافقتشان وجود دارند، حذف کنند. همچنین برای جلوگیری از مورد سوء استفاده قرار گرفتن دستگاه اندرویدی خود و حفاظت آن در برابر بدافزارها، به شدت توصیه می شود مراحل ساده زیر را دنبال کنید:
  • هرگز برنامه‌های کاربردی را از فروشگاه‌های شخص ثالث ، نصب نکنید.
  • اطمینان حاصل کنید که قبلا Google Play Protect را انتخاب کرده اید.
  • ویژگی ‘verify apps’ یا تأیید برنامه‌ها را از تنظیمات فعال کنید.
  • منابع ناشناخته (unknown sources) را در صورتی که از آن استفاده نمی‌کنید، غیرفعال کنید.
  • آنتی ویروس‌ها و نرم افزارهای امنیتی را از یک فروشنده امنیت سایبری شناخته شده و معروف، نصب کنید.
  • به طور منظم از گوشی خود پشتیبان گیری کنید.
  • همیشه از یک برنامه رمزنگاری برای حافظت از هر گونه اطلاعات حساس در تلفن خود استفاده کنید.
  • هرگز سندهای غیرمنتظره را باز نکنید، حتی اگر به نظر برسد که از طرف شخصی که می شناسید، می باشد.
  • گوشی خود را مجهز به رمز عبور کنید، به طوری که در صورت عدم توجه به آن، هیچ کس نتواند دسترسی غیرمجاز به گوشی شما داشته باشد.
  • گوشی خود را همیشه با آخرین وصله های امنیتی به روز نگه دارید.

 

منابع

[۱] “New Android Malware Secretly Records Phone Calls and Steals Private Data,” https://thehackernews.com/2018/04/android-spying-trojan.html , April 2018.