کشف یک تروجان اندرویدی جدید که اطلاعات پیامرسانها را به سرقت مىبرد
محققان امنیتی یک بدافزار جدید اندرویدی کشف کردهاند که برای گرفتن اطلاعات کاربران پیامرسانهای تلفنهمراه طراحی شده است.
طراحی این تروجان جدید بسیار ساده است و توسط محققان شرکت امنیت سایبرى Trustlook کشف و گزارش شده است.
این تروجان تنها چند توانایی دارد. اول اینکه پایداری بوت (boot) را توسط باز کردن کد از منبع برنامه آلوده به دست میآورد. این کد تلاش میکند فایل “/system/etc/install-recovery.sh” را تغییر دهد که اگر موفق شود، میتواند با هر بار بوتشدن بدافزار را اجرا کند.
دوم اینکه، نرم افزارهای مخرب می توانند داده ها را از برنامههای پیامرسان اندرویدی زیر استخراج کنند. این داده ها بعدها به سرور راه دور ارسال می شوند. این بدافزار، IP این سرور را از یک فایل پیکربندی محلی بازیابی می کند.
برنامههای پیامرسان اندرویدی شامل:
Facebook Messenger
Skype
Telegram
Twitter
WeChat
Weibo
Viber
Line
Coco
BeeTalk
Momo
Voxer Walkie Talkie Messenger
Gruveo Magic Call
TalkBox Voice Messenger
محققان این بدافزار را در یک برنامه چینی با نام Cloud Module (به زبان چینی)، با نام پکیج com.android.boxa شناسایی کردند.
محققان Trustlook میگویند که با وجود تمرکز زیادی که بر سرقت دادههای این پیامرسانها وجود دارد، این بدافزار از چند تکنیک پیشرفته استفاده میکند. به عنوان مثال از تکنیکهای ضد شبیهساز و اشکالزدایی استفاده میکنند تا از تجزیه و تحلیل دینامیک جلوگیری کنند و همچنین رشتههاى متنى را درون کد آن مخفى مىکند تا تلاش براى برگرداندن کد را خنثى کند.
عجیب است که این بدافزار اندرویدى تنها با یک قابلیت واحد اطلاعات پیامرسانها را استخراج مىکند. یک نظریه برای انتخاب این طراحی این است که مهاجمان از مکالمات خصوصی، تصاویر و ویدیوها برای جمع آوری اطلاعات حساس استفاده میکنند که بعدا میتوانند در تلاش برای اخاذی، به ویژه در برابر قربانیان مهم و برجسته مورد استفاده قرار گیرد.
محققان هیچ اطلاعاتی در مورد روش های توزیع این بدافزار به اشتراک نگذاشته اند اما با توجه به اینکه این بدافزار دارای یک نام چینی است و هیچ Store Play در چین وجود ندارد، ممکن است نویسندگان این بدافزار، برنامه مخرب خود را از طریق فروشگاههای شخص ثالث و لینکها در انجمنهای نرم افزاری اندروید، توزیع کنند.