شرکت امنیتی سیمنتک (Symantec) نوع جدیدی از باج افزارهای اندرویدی را به تازگی کشف کرده است که در نوع خود از تاکتیک های جدیدی بهره می برد که شاخص اصلی آن استفاده از بسته نصب و راه اندازی جعلی است که به وسیله آن مجوزهای قانونی را برای مدیریت دستگاه قربانی به بدافزار خواهد داد.
شاید بتوان سال جدید میلادی را سالی مهم برای باج افزارها قلمداد کرد. در واقع حجم باج افزارهای کشف شده و تنوع آنها دو برابر شده است. با رشد نفوذ و تأثیر این باج افزارها باید آنها را به عنوان مهمترین تهدید گوشی های اندرویدی تلقی کرد.
باج افزارها نوع خاصی از بدافزارها هستند که با ورود به گوشی شخص قربانی، آن را قفل کرده و امکان دسترسی فرد را به اطلاعات خود از بین می برند.سپس یک پنجره کوچک (pop up) برروی صفحه نمایش گوشی قربانی ظاهر می شود که حاوی پیامی با این مضمون است که در صورت نیاز به بازیابی اطلاعات خود باید مبلغی را به حساب شخص سودجو بپردازید تا اجازه دهد گوشی از حالت قفل شده خارج شود.
در اینگونه موارد شخص قربانی چاره ای جز پاک کردن داده های دستگاه خود نداشته که نتیجه آن از دست رفتن همه اطلاعات وی خواهد بود.
شرکت امنیتی Symantec، نوع جدیدی از باج افزار اندرویدی از نوع(Android.Lockdroid.E) را به تازگی کشف کرده است که در نوع خود از تاکتیک های جدیدی بهره می برد که شاخص اصلی آن استفاده از بسته نصب و راه اندازی جعلی است که به وسیله آن مجوزهای قانونی را برای مدیریت دستگاه قربانی به بدافزار خواهد داد. حال با داشتن این امتیاز قانونی بدافزار مورد نظر توانایی رمزنگاری فایل های موجود در دستگاه قربانی را خواهد داشت.
از قابلیت های دیگری که این بدافزار دارد می توان به قفل کردن دستگاه مورد نظر، تغییر پین کد دستگاه و حتی حذف و پاک سازی تمام داده های کاربر از طریق فرمان بازگشت به تنظیمات کارخانه اشاره کرد.
** روش های اخاذی مورد استفاده توسط باج افزار
باج افزارهای اندرویدی به دنبال اخاذی از قربانیان خود هستند. در بیشتر مواقع هنگامی که شخص قربانی برنامه کاربردی آلوده به باج افزار را دانلود و نصب می کند، بدافزار صفحه نمایش گوشی را قفل کرده و یک هشدار جعلی تحت عنوان اینکه کاربر به داده های ممنوع دسترسی پیدا کرده است را به نمایش می گذارد.در واقع بدافزار با این کار لیست مخاطبان قربانی را جمع آوری و داده های آن را رمزنگاری می کند.
بیشتر تکنیک ها برای سرقت داده و سودجویی از اشخاص مبتنی بر مهندسی اجتماعی است که با فریب کاربر، او را قانع می کند تا به برنامه کاربردی آلوده مجوزهای مدیریتی را بدهد.
با تفویض مجوزهای مدیریتی به برنامه کاربردی آلوده، بدافزار اقدام به قفل کردن صفحه نمایش دستگاه، تغییر پین کد دستگاه و یا فعال سازی تنظیمات بازگشت به کارخانه را خواهد کرد. به علاوه بدافزار مانع از غیرفعال ساختن و یا حذف برنامه مورد نظر می شود.
اما این باج افزار جدید، هوشمندانه تر عمل می کند. در واقع پس از استفاده از مهندسی های اجتماعی پیچیده برای دریافت مجوزهای مدیریتی پس از نصب برنامه کاربردی و اجرای آن توسط کاربر، پیام فعال سازی سیستم توسط پوسته جعلی با مضمون 'بسته های فرآیند نصب' فراخوانی می شود.
کاربر تصور می کند که باید بسته های ضروری مربوط به گوگل را نصب و کلید ادامه را باید بفشارد، اما در واقع بدافزار اولین گام برای فعال سازی برنامه مخرب را برداشته است.
گام اول نمایش پیام های جعلی حاوی بسته های فرآیند نصب است. هنگامی که این پیام به نمایش گذاشته شود، در پس زمینه برنامه کاربردی تمام فایل های موجود در حافظه خارجی دستگاه را رمزنگاری کرده و اطلاعات حساس قربانی را جمع آوری می کند.
معمولاً پیام فعال سازی باید در لایه بالایی واسط کاربری باشد، ولی این بدافزار جدید از پنجره TYPE_SYSTEM_ERROR، استفاده کرده و پیام خود را در بالاترین لایه قرار می دهد و درنتیجه پیام فعال سازی اصلی که شامل اخذ مجوزهای مدیریتی است پنهان می ماند.
پس از گذشت چند ثانیه پیام نهایی با عنوان 'اتمام فرآیند نصب' ظاهر می شود. در این گام است که کاربر فریب خورده و تمامی مجوزهای قانونی را به بدافزار می دهد. پیغام 'اتمام فرآیند نصب' در واقع یک پنجره TYPE_SYSTEM_OVERLAY است.
یکی از مشخصات کلیدی این پنجره عدم تمرکز بر روی ورودی های دریافتی است. این بدان معنی است که پنجره مسئولیتی در رابطه با واسط کاربری UI برای اجرای فرآیندی همچون کلیک بر روی کلید مورد نظر را ندارد.
باید این نکته را اضافه نمود که از نسخه 5 سیستم عامل اندروید (lollipop) به بعد، دو پیغام نمایش داده شده در بالا بر روی پیغام های حق دسترسی سیستمی قرار نمی گیرند؛ بنابراین این تکنیک تنها نسخه های قدیمی تر از نسخه 5 اندروید را متأثر خواهد کرد، که تعداد دستگاه های موجود بیش از 67 درصد از دستگاه های مبتنی بر سیستم عامل اندروید است و زنگ خطر را برای کاربران این نسخه ها به صدا در خواهد آورد.
** راهکارهای مقابله با این دست باج افزارها
حتماً بر روی دستگاه خود برنامه ضدویروس بروز رسانی شده داشته باشید و سیستم عامل دستگاه خود را بروز نگاه دارید.
تنها از فروشگاه های معتبر و رسمی، برنامه های کاربردی موردنظر خود را دانلود کنید.
انتخاب صحیح و درست در برگزیدن و نصب برنامه های کاربردی باید انجام گیرد. بهتر است قبل از نصب برنامه ها تحقیقات اندکی بر روی آنها صورت گیرد و همچنین اجازه دسترسی های مورد نیاز برنامه ها بررسی شود که اگر فراتر از حد مورد نیاز بود آن برنامه نصب نشود.
منبع: مرکز ماهر