50 برنامه مخرب با 2.3 میلیون بارگیری که تلفن های اندرویدی را با بدافزارهای غیرقابل حذف آلوده می کند – اکنون چه باید کرد
همیشه به ما گفته شده است که گوشیهای اندرویدی ما تا زمانی که به Google Play Store پایبند باشیم و از نصب در جای دیگر خودداری کنیم، ایمن هستند. اما یک کمپین بدافزار جدید و پیشرفته این حس امنیت را از بین برده است.
همانطور که توسط BleepingComputer گزارش شده است، محققان در شرکت امنیت سایبری McAfee 50 برنامه مخرب را کشف کردند که آشکارا در فروشگاه رسمی Google پنهان شده بودند و 2.3 میلیون بار دانلود کردند و دستگاهها را بیصدا با یک نوع جدید خطرناک بدافزار اندروید آلوده کردند.
درست مانند کمپینهای بدافزار قبلی، این برنامههای بد به عنوان پاککنندههای سیستم، بازیهای موبایلی و سایر ابزارهای کمکی ظاهر میشوند. برنامههای مورد نظر در هنگام باز شدن همانطور که در نظر گرفته شده بود کار میکردند و برای جلوگیری از سوء ظن درخواست دسترسی به مجوزهای غیر ضروری را نمیدادند. این اغلب یک علامت هشدار دهنده مهم است که یک برنامه مخرب است.
مقاله در زیر ادامه دارد
اگرچه کاربران اندرویدی که این برنامهها را نصب و استفاده میکردند هرگز احساس نمیکردند که در پسزمینه مشکلی پیش میآید، اما این دور از واقعیت بود. ببینید، برنامهها پس از تماس با سروری که توسط هکرها کنترل میشود، دستگاههایی را که روی آنها نصب شده بودند، پروفایل کردند تا به دنبال آسیبپذیریهای قابل بهرهبرداری باشند. اگر چیزی پیدا شود، بدافزار اندرویدی جدید NoVoice کنترل کامل و کاملی بر دستگاه آلوده به دست میگیرد و اساساً آن را به اسباب بازی یک هکر تبدیل میکند.
در اینجا همه چیزهایی که باید در مورد این بدافزار جدید بدانید و اینکه چرا یکی از خطرناک ترین گونه هایی است که تا به حال دیده ام، همراه با چند نکته و ترفند برای کمک به محافظت از شما و تلفن هوشمند اندرویدی خود در برابر هکرها آورده شده است.
عفونت مقاوم به تنظیم مجدد کارخانه
برای اکثر بدافزارها، بازنشانی به تنظیمات کارخانه در هر گوشی اندرویدی برتر این کار را انجام می دهد. اما با NoVoice، این کار نمی کند زیرا بدافزار در قسمتی قرار می گیرد که پاک کردن سیستم نمی تواند آن را لمس کند.
برای انجام این کار، NoVoice با بهرهبرداری از آسیبپذیریهای قدیمی که از آن زمان اصلاح شدهاند، دسترسی ریشه پیدا میکند. از آنجایی که بسیاری از مردم گوشیهای خود را آنطور که باید بهروزرسانی نمیکنند یا دستگاههای قدیمیتری دارند که دیگر بهروزرسانیهای امنیتی را دریافت نمیکنند، بدافزارها میتوانند از این موضوع به نفع خود استفاده کنند.
پس از نصب از طریق یکی از این 50 برنامه مخرب، این بدافزار طیف گسترده ای از اطلاعات دستگاه، از جمله جزئیات سخت افزار، نسخه فعلی اندروید و سطح وصله گوشی، لیست برنامه های نصب شده و وضعیت ریشه را جمع آوری می کند. با این اطلاعات، NoVoice به یک سرور فرمان و کنترل (C2) می رسد که توسط هکرها اداره می شود. این کار را هر 60 ثانیه انجام می دهد. این بدافزار علاوه بر به اشتراک گذاری اطلاعات از یک دستگاه آلوده، اکسپلویت های خاص دستگاه را نیز دانلود می کند که برای دسترسی ریشه استفاده می شود.
بر اساس پست وبلاگ McAfee، محققان امنیتی 22 سوء استفاده مختلف توسط NoVoice را مشاهده کرده اند. با بهرهبرداری از آسیبپذیریهای شناخته شده، این بدافزار قادر است از حفاظتهای امنیتی داخلی اندروید عبور کرده و چندین لایه پایدار ایجاد کند. NoVoice حتی کتابخانههای سیستم اصلی دستگاه آلوده را بازنویسی میکند تا اطمینان حاصل کند که بدافزار نصب شده باقی میماند، حتی اگر با بازنشانی تلفن قربانی به تنظیمات کارخانه، پاکسازی کامل انجام دهد.
سازندگان NoVoice تمام تلاش خود را برای حفظ کنترل گوشی های اندرویدی آلوده انجام دادند. به عنوان مثال، یک دایمون نگهبان هر 60 ثانیه یکپارچگی روت کیت را بررسی می کند. اگر بخشی از بدافزار حذف شده باشد، اجزای از دست رفته به طور خودکار دوباره نصب می شوند. اگر بدافزار نتواند خودش را تعمیر کند، دستگاه آلوده را مجبور به راهاندازی مجدد میکند که باعث ایجاد عفونت جدید از ابتدا میشود.
تاکنون این بدافزار جدید عمدتاً برای هدف قرار دادن کاربران اندروید در آفریقا استفاده شده است، اما برای کاربران هند، ایالات متحده و اروپا نیز اعمال شده است. McAfee میگوید دلیل اصلی این امر این است که دستگاههای مقرونبهصرفه که نسخههای قدیمیتر اندروید را اجرا میکنند در این مناطق رایجتر هستند. با این حال، هر کاربر اندرویدی که یک وصله امنیتی قدیمی را اجرا میکند، کاملاً در معرض خطر است.
هکرهای پشت NoVoice از این بدافزار عمدتاً برای هدف قرار دادن WhatsApp استفاده کردند. وقتی برنامه پیامرسانی روی دستگاه آلوده راهاندازی میشود، NoVoice دادههای حساس را استخراج میکند تا جلسه WhatsApp قربانی را شبیهسازی کند. این به هکرها اجازه می دهد تا به طور موثر هویت دیجیتال قربانی را ربوده و پیام هایی را به مخاطبین آنها در زمان واقعی ارسال کنند.
با توجه به ساختار ماژولار NoVoice، بدافزار را می توان به راحتی برای هدف قرار دادن برنامه های بانکی یا هر برنامه ای که روی دستگاه آلوده اجرا می شود، دوباره پیکربندی کرد.
چگونه می توانید از خود در برابر بدافزار NoVoice محافظت کنید؟
خوشبختانه، تمام 50 برنامه مخرب مورد استفاده برای انتشار NoVoice از فروشگاه Google Play حذف شده اند. اما اگر قبلاً هر یک از این موارد را در تلفن خود دارید، باید آنها را به صورت دستی حذف کنید. در حالی که این به طور معمول برای ایمن نگه داشتن شما کافی است، سطوح ماندگاری چندگانه ای که این بدافزار استفاده می کند به این معنی است که حذف یکی از این برنامه های بد یک راه حل تضمینی نیست.
باید فوراً سطح وصله امنیتی خود را بررسی کنید تا ببینید آیا تلفن اندرویدی شما در معرض خطر است یا خیر. شما می توانید این را با رفتن به: تنظیمات > درباره تلفن > اطلاعات نرم افزار. اگر وصله امنیتی دستگاه شما قبل از 1 مه 2021 باشد، در برابر سوء استفاده ای که NoVoice برای دسترسی روت استفاده می کند آسیب پذیر است.
از آنجایی که تنظیم مجدد کارخانه ای استاندارد این عفونت را از بین نمی برد، تنها گزینه فنی شما این است که گوشی خود را با سیستم عامل رسمی کارخانه راه اندازی مجدد کنید. این فرآیند به طور کامل فایل های سیستمی خراب را با یک کپی تمیز جایگزین می کند، اما تمام داده های شما را نیز حذف می کند و ممکن است برای کاربران کمتر با تجربه مشکل باشد. اگر تلفن فعلی شما دیگر بهروزرسانیها و وصلههای امنیتی اندروید را دریافت نمیکند، مطمئنترین حرکت احتمالاً شروع دوباره با یک دستگاه اندرویدی کاملاً جدید است.
اگرچه لیست کامل 50 برنامه مخرب منتشر نشده است، می توانید دستگاه خود را برای علائم عفونت بررسی کنید. Google Play Protection را که در اکثر گوشیهای اندرویدی از قبل نصب شده است، روشن کنید و فوراً یک اسکن دستی انجام دهید. گوگل امضاهای خود را برای شناسایی NoVoice به روز کرده است و اکنون می تواند اجزای بدافزار را پرچم گذاری یا غیرفعال کند، حتی اگر آنها در اعماق سیستم شما دفن شده باشند.
در آینده باید در مورد برنامههایی که نصب میکنید بسیار گزینشی عمل کنید. به توسعه دهندگان قابل اعتماد پایبند باشید، رتبه بندی ها را بررسی کنید و همیشه نظرات را قبل از شروع دانلود بخوانید. علاوه بر فعال نگه داشتن Google Play Protection، ممکن است بخواهید یکی از بهترین برنامه های آنتی ویروس اندروید را برای یک لایه دفاعی اضافی نیز اجرا کنید.
NoVoice تغییر قابل توجهی را در چشم انداز بدافزار اندروید نشان می دهد و ممکن است در آینده شاهد تقلید سایر مهاجمان از طراحی «مقاوم به تنظیم مجدد» آن باشیم. تا آن زمان، بهترین دفاع این است که دستگاه خود را به روز نگه دارید. اگر تلفن شما برای دریافت وصلههای امنیتی مهم خیلی قدیمی است، ممکن است زمان آن رسیده باشد که آن را ارتقا دهید.
دنبال کردن راهنمای تام برای Google News و ما را به عنوان منبع ترجیحی اضافه کنید برای مشاهده آخرین اخبار، تحلیل ها و بررسی های ما در فیدهای خود.