محققان امنیتی از شرکت آواست اعلام کردند بدافزار Triada که سال قبل به‌عنوان یکی از پیشرفته‌ترین تهدیدات در حوزه‌ی تلفن‌های همراه شناسایی شد، قابلیت‌های جلوگیری از تشخیص خود را بهبود داده و با برخی از ویژگی‌های محیط جعبه شنی سازگار شده است.

این بدافزار برای اولین بار، سال گذشته مورد بررسی قرار گرفت که از فرآیند Zygote برای قلاب کردن برنامه‌های موجود بر روی دستگاه استفاده می‌کرد. داشتن ویژگی ماژولار در این بدافزار برای هدایت و تغییر مسیر پیامک‌های مالی برای خرید محتوای بیشتر یا سرقت پول کاربر مورد استفاده قرار می‌گیرد.

بدافزار Triada به تازگی استفاده از جعبه شنی متن‌باز DroidPlugin را آغاز کرده است که بدون نصب یک برنامه می‌تواند آن را بارگیری و اجرا نماید. با کمک این جعبه شنی، بدافزار برنامه‌های مخرب اندروید را بارگذاری کرده و بدون نصب آن‌ها بر روی دستگاه، به اجرای آن‌ها می‌پردازد. با این اقدام، کشف بدافزار برای راه‌حل‌های ضدبدافزاری بسیار سخت می‌شود چرا که هیچ پرونده‌ی مخربی در قسمت برنامه‌های میزبان نصب نشده است.

این بدافزار با استفاده از روش‌های مهندسی اجتماعی و تحریک کاربر به بارگیری و نصب آن توزیع می‌شود. پس از نصب، بدافزار آیکون خود را از صفحه‌ی نمایش تلفن همراه مخفی کرده و در پس‌زمینه به سرقت اطلاعات می‌پردازد بدون اینکه به کاربر قربانی هشداری بدهد. هرچند نسخه‌های قبلی از این بدافزار از جعبه شنی DroidPlugin استفاده نمی‌کردند، ولی محققان از آبان ماه سال گذشته مشاهده کردند که بدافزار با روش‌های این جعبه شنی مطابقت پیدا کرده است. با آغاز استفاده از این جعبه شنی توسط بدافزار Triada نویسنده‌ی بدافزار یک آسیب‌پذیری خارج از محدوده‌ی حافظه را در این ابزار کشف و به توسعه‌دهنده‌ی آن گزارش داده است.

به گزارش محققان امنیتی، بدافزار خود را در قالب برنامه‌ی Wandoujia که یک فروشگاه معروف برنامه‌های اندروید در چین است، مخفی می‌کند. علاوه بر این مشاهده شده این بدافزار تمامی افزونه‌های خود را برای اجرا شدن در پوشه‌ی جعبه شنی DroidPlugin قرار داده است. محققان می‌گویند: «هریک از این افزونه‌ها عملیات مخرب مخصوص به خود را انجام می‌دهند. به‌عنوان مثال یکی از این افزونه‌ها با کارگزار دستور و کنترل ارتباط برقرار کرده و دستورات لازم برای اجرای افزونه‌ها را دریافت می‌کند. این دستورات دریافت‌شده باید توسط افزونه‌های دیگر انجام شوند.»

محققان همچنین اشاره کردند، نویسنده‌ی این بدافزار، افزونه‌های مخرب را در قالب یک برنامه با هم ادغام نکرده تا هریک از افزونه‌ها قابلیت بارگیری و اجرا توسط جعبه شنی DroidPlugin را داشته باشند. برنامه‌ی میزبان که نصب شده، دارای هیچ فعالیت مخربی نبوده و توسط برنامه‌های ضدبدافزار شناسایی و مسدود نخواهد شد.

تاکنون تعداد بسیار محدودی از بدافزارها مشاهده شده‌اند که برای اهداف مخرب خود از روش‌های جعبه شنی استفاده می‌کنند ولی باید پس از این، شاهد افزایش استفاده از چنین روش‌هایی باشیم. باتوجه به این ویژگی که جعبه شنی بدون نصب یک برنامه می‌تواند آن را اجرا کند، این روش می‌تواند توسط بدافزارهای مختلف مورد استفاده قرار بگیرد.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

تروجان اندرویدی برای فرار از تشخیص از جعبه شنی استفاده می‌کند
برچسب ها:                                        

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *