هشدارهای افتایی
محققان جزییات کارزاری را منتشر کرده‌اند که در جریان آن مهاجمان اقدام به آلوده‌سازی گوشی‌های هوشمند Android به جاسوس‌افزار کرده و مخفیانه و بدون جلب توجه، به صورت کاملاً هدفمند کنترل کامل دستگاه را در اختیار می‌گیرند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این جاسوس‌افزار با عنوان Mandrake با سوءاستفاده از توابع معتبر Android هر اطلاعاتی در خصوص کاربر را از روی دستگاه جمع‌آوری می‌کند.
مهاجم می‌تواند داده‌های ذخیره شده بر روی دستگاه را مرور و جمع‌آوری کرده و اطلاعات اصالت‌سنجی حساب‌هایی همچون حساب‌های مورد استفاده در برنامه‌های بانکی را سرقت کند. مخیفانه، فعالیت‌های کاربر بر روی صفحه را ضبط کرده، موقعیت GPS و بسیاری موارد دیگر را رصد و در نهایت رد پا و اثرات خود را معدوم کند.
شرکت Bitdefender در مقاله‌ای تحقیقاتی به بررسی قابلیت‌های جدید Mandrake که کاربران در اروپا و آمریکا را هدف قرار داده پرداخته است. Mandrake از سال 2016 فعال بوده و محققان پیش‌تر نحوه هدف قرار دادن کاربران استرالیایی توسط آن را مورد بررسی قرار داده بودند. اما اکنون دامنه اهداف Mandrake به کشورهای بیشتری گسترش یافته است.
هدف نهایی بدافزار قدرتمند Mandrake کنترل کامل دستگاه و هک حساب‌های کاربری است.
میزان گستردگی کارزار اگر چه هنوز کاملاً روشن نیست اما به‌نظر می‌رسد که مهاجمان به دقت قربانیان خود را انتخاب کرده و زمانی که یک هدف ارزشمند به دام آنها می‌افتد به‌صورت دستی Mandrake را طوری هدایت می‌کنند که حداکثر اطلاعات ممکن در خصوص کاربر سرقت شود.
Bitdefender تخمین می‌زند که تعداد قربانیان در دوره‌ای چهارساله ده‌ها هزار و حتی شاید صدها هزار مورد بوده باشد.
نکته ویژه در خصوص Mandrake مجهز بودن آن به سوییچ مرگی (Kill-switch) است که در زمانی که مهاجمان به همه اطلاعات مورد نیاز در مورد قربانی دست پیدا می‌کنند فعال شده و بدافزار از روی دستگاه حذف می‌شود.
طی سال‌ها گردانندگان Mandrake برای مخفی نگاه داشتن بدافزار تلاش بسیاری کرده‌اند. برای مثال، این افراد اقدام به توسعه، ارسال و نگهداری چندین برنامه بر روی انباره رسمی Google، یعنی Play Store تحت نام توسعه‌دهندگانی متفاوت کرده‌اند. برخی از آنها برای هدف قرار دادن کشورهایی خاص طراحی شده‌اند. این برنامه‌ها اکنون حذف شده‌اند.
برای راضی نگاه داشتن کاربران اکثر این برنامه‌ها رایگان بوده و به‌روزرسانی‌ها به‌صورت دوره‌ای برای آنها عرضه می‌شده است. حتی برای برخی از این برنامه‌ها صفحاتی اجتماعی طراحی شده بودند تا از این طریق کاربران بیشتری را متقاعد به اعتماد به آنها و دریافت کنند.
بدافزار از یک پروسه چندمرحله‌ای برای مخفی کردن ماهیت مخرب خود و عبور از سد کنترل‌های امنیتی Play Store استفاده می‌کند. برنامه بر روی تلفن نصب شده و در ادامه برای دریافت Loader با سرور تماس می‌گیرد. پس از آن Loader قابلیت‌های اضافی که Mandrake برای کنترل دستگاه نیاز دارد را فراهم می‌کند.
بدافزار در چندین مرحله عمل می‌کند؛ اولین قدم آن شامل برنامه‌ای پاک بدون هر گونه رفتار مخرب – البته بغیر از دریافت و نصب کد مرحله دوم، آن هم در زمانی که صریحاً به آن دستور داده می‌شود – است. بدیهی است که رفتار دریافت و نصب کد مرحله دوم نیز در حینی که برنامه در بستر تحلیلی Google در حال بررسی است فعال نمی‌شود.
بدافزار کاربر را به نحوی فریب می‌دهد که سطح دسترسی او را بر روی دستگاه ارتقا دهد. بدین‌منظور از روش‌های ساده‌ای نظیر نمایش جعلی توافق‌نامه مجوز کاربر نهایی (End-User License Agreement) استفاده می‌شود که با موافقت کاربر، در پشت‌صحنه یک سطح دسترسی به‌شدت قدرتمند به بدافزار اعطا می‌شود. با آن دسترسی‌ها، بدافزار کاملاً به دستگاه تسلط یافته و داده‌های بر روی آن را بدست می‌آورد.
در حالی که هنوز قطعی نیست که کدام افراد و با چه قصدی هدف Mandrake قرار می‌گیرند مهاجمان می‌دانسته‌اند که گسترده کردن دامنه اهداف، احتمال شناسایی زودهنگام این بدافزار را افزایش می‌داده است.
احتمال داده می شود که کارزار Mandrake همچنان فعال باشد و دیر یا زود گردانندگان آن برنامه‌های جدیدی را برای کپی بدافزار توزیع خواهند کرد.
برای ایمن ماندن از گزند چنین تهدیداتی به کاربران توصیه می‌شود که تنها از برنامه‌های توسعه داده شده توسط شرکت‌های معتبر استفاده کنند. در برخی مواقع بهتر است که از نصب برنامه توسعه داده شده توسط منبعی جدید حتی در صورت به اشتراک‌گذاری آن بر روی انباره رسمی Play Store اجتناب شود.
گزارش تحلیلی Bitdefender در لینک زیر قابل دریافت و مطالعه است:
نشانه‌های آلودگی:
درهم‌ساز
•    0c33df55396c7302e825e4cdf9d71963
•    7d3d1aed89bcbf3a6283c7afd5fffe68
•    102fa3c42f49e76739330c207eb74764
•    854fe13515a5e16f725ad581bc42a3ca
•    130678c900e987dc864656675719947a
•    85eb7327fd01a993aee0e5d830cb04f1
•    134a27b776651dbe4aeec86067e715c0
•    86958a2fde23133447f8e5a05d7219d7
•    139f0b8de9e5829177e7faf5ce626f10
•    89c35d03187db85247bb2602eceeb186
•    1437bd4e45ea57cb68599554a2c9ad6d
•    9b37458884e0d031ed779f1e666a8aee
•    1767056dca77c780fbdc8396387756a6
•    9e09467a00daa9c8b0e2293165f6237c
•    17e431ead516a6308b6a8c94a2e0932d
•    a33b07b15d76dd2fc74a065260341b56
•    1c1f6aaeb8759ce0323603d4d278838d
•    ad4f00bb107a5e83cde80f34fcc083f3
•    1c2d6b31ba319c0eac60058da0ad7bf1
•    adec9bbd315ffcaf4867bc5b4f6a71c3
•    2225f2be8c32f2a5b5cefe418098e4d4
•    b2ffb1f6a756e3baddf2151032392d8b
•    238f1ca8731b923195c78e8685fbc996
•    b6b80f05de5d4394deeb8a6fe33fba97
•    2533667dc05ed5961ebeb0287d1354c0
•    bffba259b7430d5324c6509b3f92c0a3
•    28e8166a7603d293b515f2ca3d16d5cc
•    c87c13d18c560830fa048483cfc1470f
•    2c1074b092fad0a1c26ee7790501acf1
•    cd3cb091edd1b143650a5bf17115cf79
•    2d8f3f410f5dfd9850e7240e7a671684
•    d1c6524bc9bafdaab159a2402b9e5056
•    2ddb55736a6696f3f66b10c2fffbacde
•    d9a111725120da98c2fa4624dffc0372
•    31c8fe0d84cda9c2f1fcf906b4825a29
•    da643fca4cc765b2734754b70499af66
•    31dbda64ab6dc67fcf43dd8172c068d7
•    db77f622dd20d4540d4260c966f0ea16
•    3c3520eebbe93ab132e01f69a17fff37
•    dc30977eb044d461d75b4073df965504
•    480084bff2bbe50d8282e54433a1477e
•    dcab3899303a486569a01678b4e9aefd
•    50653e594d8019f72303978ea0e448fa
•    dcc510fbaedaa53713bf7524b6f4449f
•    59da03ef4c7b6c32e341c1a2ce6c26e9
•    dd5868cf6eaa2fcf966fd308e89aaba5
•    62939e26abdf183888eb7c7a83a5d76f
•    e25f9a9e1176b51ac495198c20e0b6c1
•    67d5a90767150d0da9cb8c7d7c5d59cd
•    e72a988e51a3d5e48c14838f2a3a9c94
•    6e42fef0aaf514a840a83443be12c28a
•    f73029781509f958d722b9aa76e4567e
•    73403d4e492cc9ef2b849fc74b47a27f
•    fe42978bc27e90427e3759ade882d293
•    761ce5e1ad67b5ea59d643969fa46f1d
•    ff967badd3681b332af5d0e8b20db2c3

دامنه
•    androidfirmware.ca
•    androidfirmware.cc
•    androidfirmware.ir
•    androidfirmware.top
•    androidfrimware.com
•    android-soft.top
•    livingstream.mobi
•    nfmmlrkagflemt.top
•    rendfiles.top
•    xjkbhysexthnpl.top
منبع:
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.