محققان گونه جدید و خطرناکی از نرمافزارهای جاسوسی را شناسایی کرده اند که میلیونها کاربر تلفن هوشمند اندرویدی را تهدید میکند. این بدافزار سیستم آپدیت نام دارد.
شرکت امنیتی زیمپریوم که در زمینه بررسی نرمافزارهای مختلف فعالیت میکند، گفته است که یک برنامه جدید مخرب و خطرناک برای اندروید – که به عنوان یک برنامه به روزرسانی سیستم یا همان سیستم آپدیت ظاهر میشود – میتواند تلفن و شما را خراب کند و اطلاعات شما را به سرقت برد. این برنامه میتواند کنترل تلفن اندروید شما را به دست بگیرد و باعث اجرا شدن برنامههایی شود که قادر به سرقت پیامها، دادهها، تصاویر، عکس گرفتن، مرور تاریخچه مرورگر شما، ضبط تماسهای تلفنی و صوتی، مشاهده پیامهای واتساپ و موارد دیگر هستند. این واقعاً یک سوء استفاده جدی از دستگاه و اطلاعات شما است. این بدافزار بسیار خطرناک است.
بدافزار هر نرمافزاری است که به طور عمدی برای آسیب رساندن به رایانه، سرور، سرویس گیرنده یا شبکه رایانه ای طراحی شده است. بدافزارهای نسبتاً زیادی برای ویندوز تولید و منتشر میشود، اما این جزو معدود مواردی است که چنین بدافزار مخرب و خطرناکی برای اندروید ساخته شده است.
برنامه سیستم آپدیت هرگز در فروشگاه گوگل پلی نبوده است، این یک واقعیت است که توسط گوگل تأیید شده است. محققان زد لب این برنامه را کشف کردند و پس از انجام تحقیقات، مشخص شد که این یک برنامه جاسوسی پیشرفته با قابلیتهای پیچیده است. اکنون ما دقیقاً میدانیم که به چه فکر میکنید. چه مدت طول میکشد تا این برنامه مخرب در تمام گوشیهای هوشمند موجود در جهان پخش و نصب شود؟ فکر دوم در ذهن شما این است که اگر برنامه هرگز در فروشگاه گوگل پلی لیست نشده است، چگونه بر روی تلفن اندروید شما نصب شده است؟ در واقع پاسخ ساده است. با نصب کردن یک برنامه مخرب از فروشگاه برنامههای شخص ثالث، این برنامه بر روی گوشی هوشمند شما نصب میشود.
در یک پست به صورت وبلاگ، شرکت امنیتی زیمپریوم از زد لب در مورد یک تهدید جدید و پیچیده سیستم عامل اندروید هشدار داده است. این شرکت اعلام کرده است که بدافزار جدیدی را شناسایی کرده است که به عنوان یک به روزرسانی سیستم اندروید خود را به کاربر معرفی میکند تا از این طریق، کاربران را فریب دهد و سیستم عامل را آلوده کند.
پس از آلوده شدن دستگاه، نرمافزار جاسوسی قادر به ضبط تماسهای تلفنی، عکس گرفتن، دسترسی به پیامها و موارد دیگر است. سپس هرگونه اطلاعات جمعآوری شده از طریق یک سرور اختصاصی فرمان و کنترل (سی اند سی) از دستگاه اندروید به سمت سرور میزبان فرستاده میشود.
طبق گزارش زیمپریوم، بارگیری نرمافزار مخرب از طریق فروشگاههای برنامه شخص ثالث انجام میشود و نام این بدافزار هرگز در فروشگاه رسمی گوگل پلی ذکر نشده است و این برنامه در آنجا قرار نگرفته است.
پس از نصب برنامه، دستگاه با فرمان و کنترل فایر بیس (سی اند سی) به جزئیاتی از سیستم گوشی هوشمند قربانی مانند وجود یا عدم وجود واتساپ، درصد باتری، آمار ذخیرهسازی، رمز دریافت شده از سرویس پیامرسانی فایر بیس و نوع اتصال اینترنت پی میبرد. وقتی چندین شرط از جمله افزودن مخاطب جدید، دریافت پیام کوتاه جدید یا نصب برنامه جدید فعال میشود، این نرمافزار جاسوسی نیز فعال میشود. نرمافزارهای جاسوسی همیشه به دنبال چیزی برای جاسوسی هستند. این بدافزار جاسوسی اگر تشخیص دهد که یک تماس تلفنی در حال انجام است، مکالمه را ضبط میکند، گزارش تماس به روز شده را اضافه میکند و اطلاعات را به عنوان یک فایل زیپ رمزگذاری شده به سرور فرمان و کنترل (سی اند سی) ذخیره میکند. برای اطمینان از اینکه هیچ اثری از آنچه اتفاق افتاده وجود ندارد، نرمافزار جاسوسی به محض دریافت تأییدیه از سرور میزبان با بیان اینکه پروندهها دریافت شده اند، پروندهها را حذف میکند.
سپس دادهها در چندین پوشه در فضای ذخیرهسازی خصوصی جاسوسافزار قرار میگیرند. یکی از ویژگیهای جاسوسافزار این است که همیشه اطلاعات تازه را از سیستم عامل کاربر میخواهد. به عنوان مثال، اگر قرار باشد که نرمافزار مخرب بعد از ۴۰ دقیقه عکس جدیدی ضبط کند، دقیقاً همان اتفاق خواهد افتاد. دادههای مکان کاربر از طریق جی پی اس یا از طریق شبکه اینترنت بسته به اینکه کدام یک داده جدیدتری را در دست دارد، جمعآوری میشود. اگر اطلاعات فعلی بیش از پنج دقیقه باشد، دادههای مکان دوباره جمعآوری و ذخیره میشوند.
بدافزار اندروید سیستم آپدیت یک نرمافزار مخرب است
برخلاف سایر انواع بدافزارها که اطلاعات را به روشی تصادفی جمعآوری میکنند، این نوع جدید نرمافزار جاسوسی برای شناسایی برخی وقایع ساخته شده است و اقدامات خاصی را قبل از جمعآوری اطلاعات انجام میدهد.
هنگامی که جاسوسافزار در حال انجام تماس تلفنی است، به عنوان مثال مکالمه ضبط میشود و یک فایل زیپ رمزگذاری شده روی سرور سی اند سی بارگذاری میشود.
اگر صفحه دستگاه آلوده شده به این بدافزار در هنگام دریافت دستور با استفاده از سرویس پیامرسانی فایر بیس خاموش باشد، این نرمافزار جاسوسی یک اعلان جعلی ایجاد میکند. از جمله کارهایی که این نرمافزار جاسوسی انجام میدهد، سرقت تصاویر کوچک و اطلاعات شخصی کاربر قربانی است.
میتال که مدیرعامل شرکت زیمپریوم است در مورد این موضوع بیان کرد:
این بدافزار که با نام سیستم آپدیت شناخته میشود، به راحتی پیچیدهترین چیزی است که ما دیدهایم. من فکر میکنم وقت و تلاش زیادی برای ایجاد این برنامه صرف شده است. ما معتقدیم که برنامههای دیگری نیز از این قبیل در بازار وجود دارد و ما با تمام توان سعی میکنیم آنها را در اسرع وقت پیدا کنیم.
ما در حال مشاهده تعداد بیشتری از بدافزارهای اینچنینی در دستگاههای تلفن همراه هستیم و به نظر میرسد سطح پیچیدگی این بدافزارها در حال افزایش است، به نظر میرسد هکرها و تولیدکنندگان چنین بدافزارهایی فهمیده اند که دستگاههای تلفن همراه به همان اندازه اطلاعات روی خود دارند و از حفاظت کمتری نسبت به نقاط حساس کامپیوترها برخوردار هستند.
زیمپریوم بیان کرده است که علائم دیگری نیز وجود دارد که نشان میدهد جاسوسان و برنامهنویسان این نرمافزار مخرب به دنبال سرقت اطلاعات جدید قربانیان بوده اند.
این شرکت در مورد این موضوع توضیح داد:
نرمافزار جاسوسی از اطلاعات جمعآوری شده قبل از یک دوره مشخص استفاده نمیکند. به عنوان مثال، دادههای مکان یا از طریق جی پی اس یا شبکه اینترنت (هر کدام که جدیدتر باشند) جمعآوری میشوند و اگر از به دست آوردن این اطلاعات بیش از پنج دقیقه گذشته باشد، بدافزار سیستم آپدیت تصمیم میگیرد تا دادههای مکان را دوباره جمعآوری و ذخیره کند.
فریب شخصی برای نصب یک برنامه مخرب، روشی ساده اما مؤثر برای به خطر انداختن دستگاه قربانی است. به همین دلیل، دستگاههای اندرویدی به کاربران هشدار میدهند که برنامههایی را از خارج از فروشگاه برنامه نصب نکنند. اما بسیاری از دستگاههای قدیمی جدیدترین نسخه از برنامهها را اجرا نمیکنند، بنابراین کاربران را مجبور میکنند به نسخههای قدیمی برنامههای خود از فروشگاههای برنامه شخص ثالث اعتماد کنند.
میتال تأیید کرد که این برنامه مخرب هرگز در گوگل پلی وجود نداشته است. وقتی سخنگوی گوگل متوجه این خبر و این بدافزار شد، توضیحی درمورد اینکه این شرکت برای جلوگیری از ورود بدافزار به فروشگاه برنامه اندروید چه اقداماتی انجام داده است، توضیحاتی را ارائه کرد. این شرکت گفت که گوگل قبلاً برنامههای مخرب را از فیلترهای خود رد میکند.
شکی نیست که این یک برنامه خطرناک است. از آنجا که این بدافزار مخرب جدید با نام سیستم آپدیت یکی از پیچیدهترین نرمافزارهای مخرب تولیدشده برای سیستم عامل اندروید است، تنها یک راه برای جلوگیری از آسیب رساندن این برنامه به شما و دستگاه شما وجود دارد. شاید بهترین کاری که میتوانید انجام دهید این است که نصب برنامهای به نام بروزرسانی نرمافزار یا همان سیستم آپدیت خودداری کنید یا ممکن است بخواهید به طور کلی از نصب برنامه از فروشگاههای اپلیکیشن شخص ثالث دوری کنید.
برای جلوگیری از ردیابی شدن این نرمافزار مخرب، بدافزار سیستم آپدیت برنامهریزی شده است تا به محض موفقیت بارگذاری، بلافاصله پروندههای اضافی را که ایجاد کرده در دستگاه حذف کند.
میتوانید متوجه شوید که چرا پرهیز از این برنامه به هر قیمتی مهم است. این برنامه توانایی به سرقت بردن تمام اطلاعات مهم و حیاتی کاربر را دارد. اگر این بدافزار را در سیستم عامل اندروید تلفن همراه یا تبلت خود نصب کنید، ممکن است محتمل خسارات بسیار زیادی شوید. بسیاری از کاربران اندروید برنامههایی را دانلود میکنند که ممکن است دستگاه آنها به طور رسمی با آنها سازگار نباشد. همه مردم در مورد اینکه از کجا فایلهای برنامههای مورد نیاز خود را تهیه میکنند، با احتیاط رفتار نمیکنند. این دلیل عمدهای است که بدافزارهای مشابه سیستم آپدیت، همانطور که در موارد بالا نشان داده شده است، میتوانند بسیار گسترده باشند.
برای محافظت در برابر این بدافزار مخرب جدید، به کاربران توصیه میشود که هرگز محتواهای مختلف را از فروشگاههای برنامه شخص ثالث بارگیری نکنند و از دستگاههای خود به وسیله یک سرویس ضد ویروس پیشرو در اندروید محافظت کنند.
نظرات