کد خبر: ۴۹۱۳۴۰
تاریخ انتشار:
ضد ویرووس خوب نصب کنید !

شناسایی نخستین بدافزار اندرویدی با قابلیت تزریق کد

تروجان Dvmap نخستین بدافزار اندرویدی کشف‌شده تاکنون است که می‌تواند کدهای آلاینده خود را درون سیستم تزریق کند.

گروه فناوری ـ تروجان Dvmap نخستین بدافزار اندرویدی کشف‌شده تاکنون است که می‌تواند کدهای آلاینده خود را درون سیستم تزریق کند.

به گزارش بولتن نیوز و به نقل از جی اس ام پژوهشگران شرکت امنیتی کاسپرسکی، از شناسایی تروجان اندرویدی جدیدی موسوم به دی‌وی‌مپ (Dvmap) خبر دادند که در پوشش بازی پازلی Colourblock (تصویر 1) روی دستگاه نصب می‌شود و با دسترسی به روت یا ریشه سیستم، امکان دانلود بدافزارهای موردنظر مهاجمان را فراهم می‌کند.

این تروجان بیش از 50 هزار بار از «گوگل پلی» دانلود شده است اما پس از گزارش کاسپرسکی، گوگل آن را از فروشگاه خود حذف کرد.

تصویر 1. بازی اندرویدی کالربلاک

شناسایی نخستین بدافزار اندرویدی با قابلیت تزریق کد

انتشار بدافزارهای نوع روتینگ (با قابلیت دسترسی به روت یا ریشه سیستم) در «گوگل پلی» اتفاق جدیدی نیست و برای مثال، پیش‌تر نیز تروجان Ztorg از سپتامبر 2016 به این سو تقریبا 100 بار در این فروشگاه آپلود شده است. اما Dvmap مورد بسیار خاصی است. این بدافزار از چند تکنیک‌ جدید بهره می‌برد که جالب‌ترین آن‌ها تزریق کد آلوده در کتابخانه‌های سیستمی libdmv.so یا libandroid_runtime.so است.

دی‌وی‌مپ علاوه بر دانلود ماجول‌های خود روی دستگاه کاربر، نخستین بدافزار اندرویدی شناسایی‌شده تاکنون است که کدهای آلاینده خود را درون کتابخانه‌های سیستمی تزریق می‌کند (code injection).

سازندگان دی‌وی‌مپ برای دور زدن سدهای امنیتی گوگل پلی، روش جالبی به کار بردند. آن‌ها نخست در ماه مارس امسال یک اپلیکیشن پاک را در فروشگاه گوگل بارگذاری کردند و سپس به بهانه به‌روزرسانی اپلیکیشن، نسخه آلوده را به جای آن نشاندند. اما این جابه‌جایی، زیاد طول نمی‌کشید و همان روز مجددا یک نسخه پاک جایگزین نسخه آلوده می‌شد. آن‌ها بین روزهای 18 آوریل تا 15 مه، دست‌کم 5 بار این کار را تکرار کردند.

عملکرد همه اپلیکیشن‌های آلوده دی‌وی‌مپ یکسان بود. آن‌ها چند فایل رمزنگاری‌شده در پوشه Assets را که در بسته نصب برنامه آرشیو شده بود (تصویر 2)، رمزگشایی و سپس فایلی موسوم به start را اجرا می‌کردند.

تصویر 2. فایل‌های پوشه Assets که تروجان آن‌ها را رمزگشایی می‌‌کند.

شناسایی نخستین بدافزار اندرویدی با قابلیت تزریق کد

نکته جالب دیگر درباره دی‌وی‌مپ این است که حتی در نسخه 64 بیتی اندروید هم کار می‌کند (تصویر 3) و این اتفاق بسیار نادری است.

یکی از بدافزارهایی که این تروجان سعی در نصب آن دارد، com.qualcmm.timeservice است. تروجان برای اینکه مطمئن شود ماجول‌های آلوده با مجوز سیستم نصب می‌شوند، کتابخانه‌های زمان اجرای سیستم را بسته به نسخه‌ای از اندروید که روی دستگاه نصب است، بازنویسی می‌کند. تروجان سپس برای کامل کردن نصب بدافزار یادشده، با مجوز خود سیستم (روت)، قابلیت بازبینی اپلیکیشن‌ها (Verify Apps) را غیرفعال می‌کند و تنظیمات سیستم را تغییر می‌دهد تا اپلیکیشن‌های فروشگاه‌هایی غیر از گوگل پلی نیز اجازه نصب بیابند.

با این کار، com.qualcmm.timeservice اجازه نصب می‌یابد و سپس دستگاه آلوده را با سرور دستور و کنترل (C&C) مهاجمان مرتبط می‌کند و کنترل کامل دستگاه را در دست آن‌ها قرار می‌دهد.

البته پژوهشگران تاکنون نشانه‌ای دال بر ارسال دستور از سوی مهاجمان به دستگاه‌های آلوده، پیدا نکرده‌اند.

در این قطعه کد، بدافزار تصمیم می‌گیرد که باید فایل‌های سازگار با نسخه 32 بیتی اندروید را انتخاب کند یا نسخه 64 بیتی آن را.

شناسایی نخستین بدافزار اندرویدی با قابلیت تزریق کد

نحوه ایمن‌سازی دستگاه در برابر Dvmap

ران هنوز مشغول آزمایش و بررسی دی‌وی‌مپ هستند، اما توصیه کرده‌اند کاربرانی که بازی پازل را نصب کرده‌اند، از داده‌های خود نسخه پشتیبان بگیرند و سپس دستگاه را به تنظیمات اولیه شرکت ریست کنند. با این کار شاید بتوان از پیامدهای نصب تروجان کاست.

ضمنا، برای دور نگه داشتن دستگاه از تیررس این‌گونه اپلیکیشن‌ها، همیشه مراقب اپ‌های مشکوک باشید؛ حتی اگر در فروشگاه گوگل پلی عرضه شده باشند. تا جای ممکن از اپ‌هایی استفاده کنید که سازندگان معتبری دارند. دیدگاه‌های دیگر کاربران درباره اپلیکیشن‌ها را هم مطالعه کنید، شاید گاهی به نکته‌ای کلیدی اشاره کرده باشند.

همیشه پیش از آنکه اپلیکیشنی را نصب کنید، ببینید چه مجوزهایی درخواست می‌کند. اپلیکیشن‌های معتبر معمولا مجوزهایی را درخواست می‌کنند که با هدف و کاربرد آن‌ها رابطه معقولی دارد.

و توصیه همیشگی: یک ضدویروس خوب روی دستگاه نصب کنید، آن را به‌روز نگه دارید و از داده‌های مهم خود نسخه پشتیبان بگیرید.


برای مشاهده مطالب IT ما را در کانال بولتن IT دنبال کنیدbultanit@

منبع: جی اس ام

شما می توانید مطالب و تصاویر خود را به آدرس زیر ارسال فرمایید.

bultannews@gmail.com

نظر شما

آخرین اخبار

پربازدید ها

پربحث ترین عناوین