به گزارش راسخون به نقل از زومیت ، محققان موسسه امنیت هوشمند ترندمیکرو اخیرا بدافزاری به نام Godless را کشف کردهاند که دستگاههای مجهز به اندروید ۵.۱ آب نبات چوبی و پایینتر را هدف گرفته است. متاسفانه گفته میشود این بدافزار میتواند روی ۹۰ دستگاههای اندرویدی مورد استفاده در جهان تاثیر منفی داشته باشد.
گادلس، همانند یک کیت اکسپلویت عمل میکند و با استفاده از چارچوب روت منبعباز به نام ابزار روت اندروید میتواند کنترل دستگاه را در اختیار بگیرد. این کمپانی امنیتی در بیانیهی رسمی خود آورده است:
براساس اطلاعاتی که از سرویس اعتبارسنجی اپلیکیشن موبایل ترندمیکرو به دست آمده، اپلیکیشنهای مخرب مرتبط با این بدافزار را میتوان در انواع اپاستورها از جمله گوگلپلی پیدا کرد که تا کنون ۸۵۰ هزار دستگاه در جهان را آلوده کردهاند.
به گفتهی ترندمیکرو این بدافزار با توجه به دسترسی به مجوز روت دستگاه، میتواند از راه دور کنترل سیستم را به دست گرفته و نرمافزارهای ناخواستهای را بر روی دستگاه آلودهشده نصب کند. بدتر اینکه این بدافزار امکان جاسوسی از اطلاعات کاربران را دارد.
اپلیکیشنهای مخربی که از نسخههای قدیمیتر گادلس استفاده میکنند دارد دارای باینری اکسپلویت لوکال هستند که از کد اکسپلویت چارچوب ابزارهای روت اندروید بهره میگیرند. بعد از دریافت اپلیکیشن، بدافزار تا زمان خاموش شدن نمایشگر دستگاه آلوده منتظر میماند و بعد از آن فرایند روت کردن آغاز میشود. بعد از اتمام روت، این اپلیکیشن همانند یک اپلیکیشن سیستمی از روی فایل کدگذاری شده به نام image_ اجرا میشود و به سادگی امکان حذف آن وجود ندارد.
با این وجود نسخهی جدید گادلس تنها برای اکسپلویت کردن و اجرای دستورات و کنترل از راه دور سرور ساخته شده است. محققان معتقدند این به اصطلاح بدافزار میتواند بررسیهای امنیتی فروشگاههایی نظیر گوگلپلی را بدون مشکل پشت سر بگذارند.
ترندمیکرو میگوید:
ما اپلیکیشنهای مختلفی را در گوگلپلی پیدا کردهایم که شامل کدهای مخرب هستند. اپلیکیشنهای مخربی که به آنها دست یافیتم با استفاده از اپلیکیشنهای کاربردی از چراغ قوه و اپلیکیشنهای مربوط به وایفای گرفته تا نسخههای مختلف بازیهای مشهور از این روش کنترل از راه دور استفاده میکنند. برای مثلا یکی از اپلیکیشنهای مخرب چراغ قوه در گوگلپلی به نام Summer Flashlight دارای کدهای مخرب گادلس است.
به نظر میرسد اپلیکیشنهای اطلاعتی از گوگلپلی حذف شدهاند. ترندمیکرو هشدار داده است که:
همچنین تعداد زیادی از اپلیکیشنهای پاکسازی روی گوگلپلی وجود دارد که نسخههای مخرب آنها قابل نصب است و با به اشتراکگذاری مجوز توسعهدهندگان در سطح گسترده مشکلساز میشوند. نسخههای مختلف روی گوگلپلی هیچ گونه کد مخربی ندارند. بنابراین، خطر بالقوهای که وجود دارد این است که کاربران از طریق اپلیکیشنهای غیرمخرب بدون اطلاع از رفتار مخرب اپلیکیشن جدید، نسخههای مخرب را دریافت میکنند. توجه داشته باشید که بروزرسانی اپلیکیشنهای خارج از گوگلپلی باعث نقض شرایط و مقررات این فروشگاه میشود.
زمان دانلود اپلیکیشنها بدون در نظر گرفتن ماهیت آنها باید بلافاصله در پسزمینه بررسیهای سریع دربارهی توسعهدهنده را انجام دهیم. ترندمیکرو هشدار داده که توسعهدهندگان جدید و ناشناس میتوانند منبع اپلیکیشنهای مخرب باشند. نصب آنتیویروسهای معتبر نیز میتواند مفید باشد، ضمن اینکه اپلیکیشنها را نباید از منابع نامعتبر نصب کرد.
/117/
