اخبار > هدف قرار گرفتن گوشی‌های اندروید با بدافزار پیچیده‌ی RedDrop

یک نوع پیچیده از بدافزارهای تلفن‌همراه که دستگاه‌های اندروید را هدف قرار می‌دهد، می‌تواند اطلاعات حساس را استخراج کند و صداها را ضبط کند، و سپس تلاش می‌کند که از قربانیان اخاذی کند.

طبق گفته‌ی شرکت امنیتی Wandera، بدافزاری به نام RedDrop در ۵۳ برنامه‌ی اندرویدی که در فروشگاه‌های برنامه‌ی شخص ثالث ارائه می‌شود، توزیع شده است. این برنامه‌ها شامل ویرایش‌گر‌های تصویر، ماشین‌حساب‌ها، ابزارهای آموزش زبان و برنامه‌های دیگر هستند. به گفته‌ی Wandera، مجرمان، قربانیانی را هدف قرار داده‌اند که در شرکت‌های مشاوره‌ای Big Four کار می‌کنند.

شرکت امنیتی Wandera در پژوهش خود که روز چهارشنبه منتشر شد گفت: «بدافزار RedDrop یکی از پیچیده‌ترین بدافزارهای اندرویدی است که به طور گسترده توزیع شده است. مهاجم از یک طیف گسترده‌ای از برنامه‌های مخرب برای فریب قربانی استفاده می‌کند.»

شرکت Wandera گفت: «اطمینان ندارد که چه تعداد دستگاه اندرویدی با بدافزار آلوده شده است. چیزی که ما متوجه شده‌ایم این است که ظاهراً سرعت اقدامات آلوده‌سازی در حال افزایش است». از آن‌جا که این شرکت در ابتدا این بدافزار را شناسایی کرد، حدود ۲۰ درخواست دریافت‌شده از برنامه‌های آلوده را مسدود کرده است تا به شبکه‌ی توزیع مجرمانه دست یابد.

این برنامه‌ها از طریق تبلیغات نمایش داده شده در موتور جستجوی چینی Baidu توزیع می‌شوند. پژوهش‌گران گفتند: «کسی که روی تبلیغات کلیک می‌کند به وب‌گاه huxiawang.cn منتقل می‌شود. صفحات این وب‌گاه به دنبال محتوای مختلف برای تشویق و تحریک کاربر برای بارگیری یکی از ۵۳ برنامه از خانواده‌ی برنامه‌های مخرب RedDrop هستند.»

هنگامی که برنامه‌های آلوده شده با RedDrop نصب شدند، این برنامه به طور مخفیانه بسته‌هایی متشکل از ۷ برنامه‌ی اندرویدی را بارگیری می‌کند که جاسوس‌افزار و مؤلفه‌های مخربی مانند تروجان‌ها و نرم‌افزارهای توزیع‌کننده‌ را اضافه می‌کند.

این شرکت گفت: «هنگامی که کاربر با این برنامه تعامل برقرار می‌کند، هر تعاملی به طور مخفیانه یک پیام کوتاه ارسال می‌کند و بلافاصله قبل از شناسایی حذف می‌شود.»

این برنامه‌های مخرب قادر به جمع‌آوری اطلاعات حساس از جمله ضبط صدای محیط اطراف دستگاه، دسترسی به عکس‌ها، تماس‌ها، و استخراج فایل‌های ذخیره‌شده‌ی محلی هستند.

داده‌هایی که از گوشی‌ها استخراج می‌شوند در حساب دراپ‌باکس مهاجم بارگذاری می‌شوند تا در ارتباط با حملات بعدی و اهداف اخاذی مورد استفاده قرار گیرند.

شرکت Wandera گفت: «برنامه‌های خانواده‌ی RedDrop مجوزهایی را درخواست می‌کنند که مهاجم را قادر می‌سازد تا حمله‌ی خود را بدون نیاز به تعامل بیشتر با کاربر انجام دهد. یکی از مخرب‌ترین مجوزها به بدافزار این امکان را می‌دهد که بین راه‌اندازی‌های مجدد پایدار باشد و آن را قادر می‌سازد تا به طور مداوم با کارگزارهای فرمان و کنترل ارتباط برقرار کند، و به این ترتیب امکان انجام فعالیت‌های پوششی عملکرد مخرب را فراهم می‌سازد.»

شرکت Wandera گفت: «بدافزار RedDrop اولین بار در ماه ژانویه در شرکت حسابداری Big Four مشاهده شد، یعنی زمانی که Wandera ترافیک شبکه‌ی غیرمعمولی از طرف دستگاه یکی از کارکنان به یک سری آدرس‌های اینترنتی مشکوک شناسایی کرد. پژوهش‌های بیشتر نشان داد که یک پرونده‌ی APK در این دامنه‌ها میزبانی می‌شود، و از آن‌جا اطلاعات بیشتری در مورد این تهدید گسترده کشف شد.»

پس از نصب، این بدافزار پرونده‌های APK و JAR دیگری را از کارگزارهای دستور و کنترل مهاجم بارگیری می‌کند، و آن‌ها را در حافظه‌ی دستگاه ذخیره می‌کند. Wandera گفت: «این روشی است که به مهاجم اجازه می‌دهد به طور مخفیانه APK‌های مخرب بیشتری را اجرا کند. این مسأله هم در ارتباطات شبکه و هم در گزارش‌های دستگاه مشاهده می‌شود.»

بنا به گفته‌ی Wandera، برای فریب فیلترهای امنیتی، گروه پشت RedDrop از بیش از ۴ هزار دامنه استفاده کرده تا برنامه‌های مخرب توزیع کند.

این شرکت گفت: «احتمالاً RedDrop همچنان توسط مهاجمان مورد استفاده قرار می‌گیرد، حتی پس از آن‌که این برنامه‌ها مخرب شناخته شدند، درست مانند SLocker که سال گذشته مشاهده شد، مهاجمان در ایجاد انواع مختلف بدافزارهای شناخته‌شده هوشمندانه عمل می‌کنند تا اقدامات امنیتی سنتی را دور بزنند.»