کشف يک بدافزار از پيش نصب‌شده در گوشی‌های اندرويد ارزان‌قيمت

چهارشنبه ۰۹ خرداد ۱۳۹۷
کارشناسان امنیتی شرکت Avast، گونه‌ی جدیدی از بدافزارهای از پیش نصب‌شده را بر روی دستگاه‌های اندرویدی ارزان‌قیمت کشف کرده‌اند.
مرکز آپا شریف
SUT-APA-LOGO

کارشناسان امنیتی شرکت ضدویروس Avast، گونه‌ی جدیدی از بدافزارهای از پیش نصب‌شده را بر روی دستگاه‌های اندرویدی ارزان‌قیمت کشف کرده‌اند.
این تبلیغ‌افزار که Cosiloon نام‌گذاری شده است و برای اولین‌بار توسط محققان Dr. Web در سال 2015 کشف شده است، یک پوشش را برای نمایش آگهی در برنامه‌های کاربردی تلفن همراه ایجاد می‌کند.
محققان آزمایشگاه تهدیدات سایبری Avast، این بدافزار تبلیغاتی از پیش نصب‌شده را در بیش از 140 دستگاه تحت اندروید که شامل سازندگانی مانند ZTE و Archos هستند، در بیش از 90 کشور کشف کردند. اکثر این دستگاه‌ها تأییدیه‌ی گوگل را ندارند و همه‌ی آن‌ها از یک چیپ‌ست Mediatek استفاده می‌کنند.
هزاران نفر از کاربران، تحت تأثیر این بدافزار قرار گرفته‌اند و تنها در ماه گذشته، آخرین نسخه از این بدافزار تبلیغاتی، حدود 18،000 دستگاه متعلق به کاربران Avast واقع در بیش از 100 کشور ازجمله روسیه، ایتالیا، آلمان، انگلستان و بعضی دیگر از کاربران در ایالات‌متحده را آلوده کرده است.
این بدافزار، متشکل از دو APK جداگانه‌ی قطره‌چکان (dropper) و بارگیری (payload) است. نسخه‌ی قدیمی این بدافزار، در مسیر “/system” قرار دارد. در این نسخه، قطره‌چکان از پوشه‌ی “/system” با دسترسی کامل ریشه اجرا می‌شود و یک فایل XML را از یک کارگزار راه دور بارگیری می‌کند و سپس سایر برنامه‌های مخرب را نصب می‌کند.
نوع دیگری از این بدافزار که کمتر دیده شده است، در توابع اصلی اندروید تعبیه شده است و البته بسیار خطرناک است. این بدافزار می‌تواند برنامه‌هایی را روی گوشی نصب کند و داده‌های خصوصی گوشی همچون کد IMEI، آدرس مک و شماره‌ی موبایل را برای یک کارگزار راه دور ارسال کند.
در تمامی آلودگی‌های این بدافزار، کدهای مخرب برای نمایش تبلیغات در بالای برنامه‌های کاربردی تلفن همراه بکار گرفته شده‌اند.
به گفته‌ی محققان، این بدافزار درصورتی‌که کمتر از سه برنامه‌ بر روی دستگاه نصب و زبان دستگاه به چینی تنظیم شده باشد، برنامه‌ی مخرب خود را وارد دستگاه نمی‌کند.
کارشناسان تلاش کردند تا کارگزار کنترل و فرمان Cosiloon را با ارسال درخواست‌هایی به ثبت‌کننده‌ی دامنه و ارایه‌دهندگان کارگزار، غیرفعال کنند. ارایه‌دهنده‌ی ZenLayer به‌سرعت کارگزار خود را خاموش کرد؛ اما کلاه‌برداران، فعالیت خود را به یک ارایه‌دهنده‌ی دیگر که به درخواست‌های Avast پاسخ نمی‌داد، منتقل کردند.
خوشبختانه Avast به‌محض کشف این بدافزار، موضوع را با گوگل در میان گذاشت و این شرکت با به‌روزرسانی Google Play تلاش کرد تا مانع از گسترش بیشتر آن در دنیای اندروید شود.
ازآنجایی‌که بدافزار Cosiloon روی سیستم‌عامل دستگاه‌ها نصب می‌شود، ازبین‌بردن آن سخت است. بااین‌وجود گفته می‌شود که یک ضدویروس قدرتمند می‌تواند فعالیت این بدافزار را متوقف کند.