اولین تروجان Android-Rooting روی Google Play Store با توانایی تزریق کد

یک بدافزار Android-rooting جدید با توانایی غیرفعال کردن تنظیمات امنیتی دستگاه، برای انجام کارهای مخرب در پس ‏زمینه، روی Play Store شناسایی شد.

برنامه به اندازه کافی هوشمند است که مکانیزم ‏های امنیتی گوگل را دور بزند. در ابتدا خود را به عنوان یک برنامه امن معرفی می‏ کند و سپس به طور موقت با یک نسخه خطرناک جایگزین می شود.

محققان امنیتی در آزمایشگاه Kaspersky یک بدافزار Android rooting جدید که به عنوان برنامه ‏های بازی روی Play Store توزیع شده بودند را کشف کردند. این بدافزار خود را در بازی پازل “colourblock” مخفی کرده بود که تا قبل از حذف آن از Play Store حداقل ۵۰۰۰۰ مرتبه دانلود شده بود.

بدافزار Dubbed Dvmap که یک بدافزار Android rooting است، تنظیمات امنیتی دستگاه را برای نصب دیگر برنامه مخرب از یک منبع third-party و همچنین تزریق کد مخرب به کتابخانه ‏های زمان اجرای دستگاه برای به دست آوردن سطح دسترسی root و ماندگاری مداوم، غیرفعال می ‏کند.

برای دور زدن بررسی های امنیتی Play Store، سازندگان بدافزار از یک روش جالب استفاده کرده اند: آنها در انتهای ماه مارس ۲۰۱۷ یک برنامه تمیز (clean) در Store آپلود کردند و سپس آن را با یک نسخه مخرب برای مدت کوتاهی به روز رسانی کردند.

معمولا آن ها دوباره نسخه تمیز را در همان روز روی Play Store آپلود می‏ کردند. آنها این کار را حداقل ۵ مرتبه بین ۱۸ آوریل و ۱۵ مه انجام دادند.

بدافزار Dvmap چگونه کار می کند؟

تروجان Dvmap روی نسخه ‏های ۳۲ بیت و ۶۴ بیت اندروید کار می‏ کند، که به محض اینکه نصب شود، تلاش می کند سطح دسترسی root دستگاه را به دست آورد و سعی می‏ کند چندین ماژول از جمله چند مورد نوشته شده به زبان چینی به همراه یک برنامه مخرب به نام “com.qualcmm.timeservices” روی سیستم نصب کند.

برای اطمینان از اجرای ماژول مخرب با حقوق دسترسی سیستم، بدافزار، بسته به اینکه دستگاه کدام نسخه اندروید را اجرا می کند ، کتابخانه های زمان اجرای سیستم را رونویسی می کند.

برای کامل شدن فرآیند نصب برنامه مخرب ذکر شده، تروجان با حقوق دسترسی سیستم، ویژگی تایید برنامه ‏ها (Verify Apps) را خاموش می کند و تنظیمات سیستم را به منظور نصب دیگر برنامه مخرب از منبع third-party، تغییر می‏ دهد.

علاوه بر این، می ‏تواند حقوق دسترسی ادمین دستگاه را بدون هرگونه تعامل با کاربر و فقط با اجرای دستوراتی، به برنامه “com.qualcmm.timeservices” اهدا کند. این یک روش غیرمعمول برای به دست آوردن حقوق ادمین دستگاه است.

این برنامه مخرب third-party، مسئول اتصال دستگاه آلوده به سرور command-and-control مهاجم و دادن کنترل کامل دستگاه به دست مهاجم است.

با این وجود، محققان می‏ گویند که تاکنون متوجه هیچ‏ گونه دستورات دریافت شده به وسیله دستگاه اندروید آلوده نشده‏اند، بنابراین، این که کدام نوع از فایل ‏ها اجرا شده اند، مشخص نیست، اما می ‏توانند فایل‏ های مخرب یا تبلیغات باشند.

چگونه در برابر بدافزار Dvmap از خود مراقبت کنید

محققان هنوز در حال تست بدافزار Dvmap هستند، اما در همین حال، به کاربرانی که بازی پازل را نصب کرده‏ اند، توصیه می‏ کنند که از داده ‏های دستگاه خود backup بگیرند و برای کاهش خطرات بدافزار یک بازنشانی (reset) کامل انجام دهند و دستگاه را به حالت زمان کارخانه ببرند.

برای پیشگیری از اینکه هدف این‏ گونه برنامه ‏ها قرار نگیرید، همیشه مراقب برنامه‏ های مشکوک باشید، حتی وقتی که از Google Play Store دانلود می‏ کنید و سعی کنید مارک‏ های مورد اعتماد را نصب کنید. علاوه بر این، همیشه به کامنت‏ هایی که دیگر کاربران قرار می ‏دهند، توجه کنید.

همیشه مجوز (permission) برنامه را قبل از نصب هرگونه برنامه بررسی کنید و فقط مجوزهایی که مربوط به اهداف برنامه است را اهدا کنید.

در آخر، همیشه یک آنتی‏ ویروس خوب روی دستگاه خود داشته‏ باشید که می ‏تواند چنین بدافزارهایی را شناسایی و مسدود کند، قبل از اینکه بتوانند دستگاه شما را آلوده کنند. همیشه آنتی ویروس را به روز رسانی کنید.

منبع:

http://thehackernews.com/2017/06/android-rooting-malware.html