کشف یک بدافزار از پیش نصب شده بر روی ۵ میلیون تلفن همراه اندرویدی!

محققان امنیتی بدافزاری را بر روی گوشی‏‌های موبایل کشف کرد‏ه‌‏اند که به طور مداوم در حال گسترش بوده و نزدیک به ۵ میلیون تلفن همراه را در سراسر جهان آلوده نموده است.

این بدافزار RottenSys نام دارد که به عنوان یک برنامه ‘System Wi-Fi service’ جا زده شده و بر روی میلیون‏‌ها گوشی هوشمند ساخت شرکت‏‌های Honor، Huawei، Xiaomi، OPPO، Vivo، Samsung و ،GIONEE هنگام تولید نصب شده است. تمامی دستگاه‌های تلفن همراهی که تحت تأثیر قرار گرفته‌اند توسط توزیع‌کننده Tian Pai پخش شده‌اند ولی هنوز مشخص نیست که این شرکت نیز به‌طور مستقیم در آلوده شدن تلفن‌های همراه نقش داشته است یا خیر.

به گفته‏‌ی تیم Check Point Mobile Security، که این کمپین بدافزار را کشف نمود، RottenSys یک بدافزار پیشرفته است که هیچ سرویسی مرتبط با Wi-Fi امن را ارائه نمی‏‌کند، اما تقریباً تمام مجوزهای حساس اندروید را به منظور انجام اقدامات مخرب خود می‌‏گیرد.

محققان می‏‌گویند: "طبق یافته‏‌های ما، بدافزار RottenSys در ماه سپتامبر ۲۰۱۶ شروع به انتشار نمود و تا ۱۲ مارس ۲۰۱۸، ۴،۹۶۴،۴۶۰ دستگاه توسط این بدافزار آلوده شدند."

RottenSys به منظور جلوگیری از شناسایی، ابتدا در قالب یک برنامه سرویس Wi-Fi جعلی به میان آمد که فوراً هم فعالیت مخرب خود را شروع نمی‏‌کرد. اما در واقع برای ارتباط با سرورهای command-and-control طراحی شده است تا لیست اجزای مورد نیازی را که حاوی کدهای مخرب است بگیرد. پس از گرفتن این لیست، RottenSys سپس هر یک از این اجزا را دانلود و نصب می‏‌نماید، و برای این کار از مجوز "DOWNLOAD_WITHOUT_NOTIFICATION" استفاده می‏‌کند که هیچ نیازی به تعامل با کاربر ندارد.

 

 هکرها تنها در طول ۱۰ روز ۱۱۵،۰۰۰ دلار به دست آوردند!

این بدافزار یک برنامه‏‌ی تبلیغاتی مزاحم را بر روی تمام دستگاه‏‌های آلوده نصب می‏‌کند که موجب نمایش تبلیغات ناخواسته بر روی صفحه نمایش دستگاه می‏‌گردد.

به گفته‏‌ی محققان تیم CheckPoint، این بدافزار در طول ۱۰ روز گذشته بیش از ۱۱۵،۰۰۰ دلار برای سازندگان خود سودآوری داشته است. اما مهاجمان در صدد آنند که آسیبی فراتر از نمایش یک تبلیغات ساده در نظر بگیرند.

از آنجا که RottenSys برای دانلود و نصب مؤلفه‏‌های جدید از سرور C&C طراحی شده است، مهاجمان می‌‏توانند به راحتی کنترل کامل میلیون‌‏ها دستگاه آلوده را در دست بگیرند.

تحقیقات نیز شواهدی را نشان می‏‌دهند که مهاجمان RottenSys در حال حاضر شروع به ایجاد یک شبکه بات‌‏نت بزرگ با استفاده از این میلیون‏‌ها دستگاه آلوده نموده‌ا‏ند. برخی از این دستگاه‏‌های آلوده یک مؤلفه‌‏ی جدید از RottenSys را نصب می‌‏کنند که قابلیت‌‏های بیشتری را (از جمله نصب مخفیانه برنامه‏‌های اضافی و UI به صورت خودکار) در اختیار مهاجمان قرار می‌‏دهد.

محققان خاطرنشان کردند: "جالب است، که بخشی از مکانیزم کنترل بات‏‌نت در اسکریپت‏‌های Lua پیاده‏‌سازی شده است. بنابراین مهاجمان بدون مداخله می‏‌توانند از کانال توزیع بدافزار خود مجدداً استفاده نموده و کنترل میلیون‏‌ها دستگاه را به یک باره در دست بگیرند."

چگونه بدافزار را شناسایی نموده و  آن را حذف کنیم؟

برای بررسی اینکه آیا دستگاه شما به بدافزار آلوده شده است یا خیر، در دستگاه اندرویدی خود به مسیر زیر بروید:

Setting->App manager

و سپس به دنبال پکیج‏‌های مخربی با نام‌‏های زیر بگردید:

com.android.yellowcalendarz (每日黄历)‎

com.changmi.launcher (畅米桌面)‎

com.android.services.securewifi ‪(系统WIFI服务)‬

com.system.service.zdsgt

 

منبع:  https://thehackernews.com/2018/03/android-botnet-malware.html