یک نوع پیچیده از بدافزارهای تلفنهمراه که دستگاههای اندروید را هدف قرار میدهد، میتواند اطلاعات حساس را استخراج کند و صداها را ضبط کند، و سپس تلاش میکند که از قربانیان اخاذی کند.
طبق گفتهی شرکت امنیتی Wandera، بدافزاری به نام RedDrop در ۵۳ برنامهی اندرویدی که در فروشگاههای برنامهی شخص ثالث ارائه میشود، توزیع شده است. این برنامهها شامل ویرایشگرهای تصویر، ماشینحسابها، ابزارهای آموزش زبان و برنامههای دیگر هستند. به گفتهی Wandera، مجرمان، قربانیانی را هدف قرار دادهاند که در شرکتهای مشاورهای Big Four کار میکنند.
شرکت امنیتی Wandera در پژوهش خود که روز چهارشنبه منتشر شد گفت: «بدافزار RedDrop یکی از پیچیدهترین بدافزارهای اندرویدی است که به طور گسترده توزیع شده است. مهاجم از یک طیف گستردهای از برنامههای مخرب برای فریب قربانی استفاده میکند.»
شرکت Wandera گفت: «اطمینان ندارد که چه تعداد دستگاه اندرویدی با بدافزار آلوده شده است. چیزی که ما متوجه شدهایم این است که ظاهراً سرعت اقدامات آلودهسازی در حال افزایش است». از آنجا که این شرکت در ابتدا این بدافزار را شناسایی کرد، حدود ۲۰ درخواست دریافتشده از برنامههای آلوده را مسدود کرده است تا به شبکهی توزیع مجرمانه دست یابد.
این برنامهها از طریق تبلیغات نمایش داده شده در موتور جستجوی چینی Baidu توزیع میشوند. پژوهشگران گفتند: «کسی که روی تبلیغات کلیک میکند به وبگاه huxiawang.cn منتقل میشود. صفحات این وبگاه به دنبال محتوای مختلف برای تشویق و تحریک کاربر برای بارگیری یکی از ۵۳ برنامه از خانوادهی برنامههای مخرب RedDrop هستند.»
هنگامی که برنامههای آلوده شده با RedDrop نصب شدند، این برنامه به طور مخفیانه بستههایی متشکل از ۷ برنامهی اندرویدی را بارگیری میکند که جاسوسافزار و مؤلفههای مخربی مانند تروجانها و نرمافزارهای توزیعکننده را اضافه میکند.
این شرکت گفت: «هنگامی که کاربر با این برنامه تعامل برقرار میکند، هر تعاملی به طور مخفیانه یک پیام کوتاه ارسال میکند و بلافاصله قبل از شناسایی حذف میشود.»
این برنامههای مخرب قادر به جمعآوری اطلاعات حساس از جمله ضبط صدای محیط اطراف دستگاه، دسترسی به عکسها، تماسها، و استخراج فایلهای ذخیرهشدهی محلی هستند.
دادههایی که از گوشیها استخراج میشوند در حساب دراپباکس مهاجم بارگذاری میشوند تا در ارتباط با حملات بعدی و اهداف اخاذی مورد استفاده قرار گیرند.
شرکت Wandera گفت: «برنامههای خانوادهی RedDrop مجوزهایی را درخواست میکنند که مهاجم را قادر میسازد تا حملهی خود را بدون نیاز به تعامل بیشتر با کاربر انجام دهد. یکی از مخربترین مجوزها به بدافزار این امکان را میدهد که بین راهاندازیهای مجدد پایدار باشد و آن را قادر میسازد تا به طور مداوم با کارگزارهای فرمان و کنترل ارتباط برقرار کند، و به این ترتیب امکان انجام فعالیتهای پوششی عملکرد مخرب را فراهم میسازد.»
شرکت Wandera گفت: «بدافزار RedDrop اولین بار در ماه ژانویه در شرکت حسابداری Big Four مشاهده شد، یعنی زمانی که Wandera ترافیک شبکهی غیرمعمولی از طرف دستگاه یکی از کارکنان به یک سری آدرسهای اینترنتی مشکوک شناسایی کرد. پژوهشهای بیشتر نشان داد که یک پروندهی APK در این دامنهها میزبانی میشود، و از آنجا اطلاعات بیشتری در مورد این تهدید گسترده کشف شد.»
پس از نصب، این بدافزار پروندههای APK و JAR دیگری را از کارگزارهای دستور و کنترل مهاجم بارگیری میکند، و آنها را در حافظهی دستگاه ذخیره میکند. Wandera گفت: «این روشی است که به مهاجم اجازه میدهد به طور مخفیانه APKهای مخرب بیشتری را اجرا کند. این مسأله هم در ارتباطات شبکه و هم در گزارشهای دستگاه مشاهده میشود.»
بنا به گفتهی Wandera، برای فریب فیلترهای امنیتی، گروه پشت RedDrop از بیش از ۴ هزار دامنه استفاده کرده تا برنامههای مخرب توزیع کند.
این شرکت گفت: «احتمالاً RedDrop همچنان توسط مهاجمان مورد استفاده قرار میگیرد، حتی پس از آنکه این برنامهها مخرب شناخته شدند، درست مانند SLocker که سال گذشته مشاهده شد، مهاجمان در ایجاد انواع مختلف بدافزارهای شناختهشده هوشمندانه عمل میکنند تا اقدامات امنیتی سنتی را دور بزنند.»