یکی از محققان امنیتی فوریه ی سال ساری مقاله ای درباره ی بدافزار درِ پشتی در اندروید منتشر کرد که جزئیات مهمهی از آن را دراختیار رسانه ها می گذاشت. مقابل تحقیقات اولیه، این بدافزار جان پر اب» حتی از بازیابی کارخانه ای گوشی هم جان تندرست به داخل می برد و در جهیز عامل پایا می ماند؛ درنتیجه، ازبین بازی کردن بدافزار مذکور به روش هایی غیرمرسوم نیاز داشت.
انتزاع اولیه روی بدافزار جان سخت اندرویدی نشان داد مشکل مقاومت آن دربرابر بازیابی کارخانه ای، بود پوشه ای حیات که نصب کننده ی تروجان در تو آن قرار داشت. پس از بازیابی کارخانه ای دستگاه اندرویدی، فایل نصب و پوشه از بین نمی رفتند. بوسیله محض اسلوب اندازی مجدد دستگاه، فایل نصب کننده ی تروجان مجددا درِ پشتی امنیتی را گمارش می کرد. محققی که جزئیات مقدماتی بدافزار را منتشر کرد، اطلاعی از چگونگی اجرای این نوع مقاومت نداشت. حال جستجوگر امنیتی دیگری پس از چند ماه بررسی، جزئیات مقاومت بدافزار را منتشر کرده است. پیش از توضیح یافته های جدید، مطلع ببینیم بدافزار xHelper چه کارهایی اجرا می دهد.بدافزار xHelper یا درِ پشتی با دسترسی بالا
نرم ادوات مخرب اندرویدی که شامل تروجان درِ پشتی می شود، با معین سرویسی برای بهبود کارایی دستگاه و پاک کردن فایل های بی استفاده منتشر می شود. سرویس آنتی ویروس Malwarebytes نصب این اپلیکیشن را روی ۳۳ هزار مایه اندرویدی تأیید می یواش که اکثر آن ها نیز در ایالات متحده استراحت دارد. سرویس آنتی ویروس دیگر که به غول روسی دنیای امنیت، یعنی کسپرسکی، تعلق دارد، تعداد دستگاه های آلوده را ۵۰ هزاره وسیله بیان می بطی ء. درنهایت، شواهدی بود ندارد که xHelper ازطریق گوگل پلی توزیع شده باشد.
بدافزار xHelper پس از نصب، درِ پشتی داخل وسیله آلوده انجام می کند. سپس، درِ پشتی اپلیکیشن هایی را از سرور مادون کنترل هکرها روی وسیله انتصاب می کند. به علاوه، درِ پشتی اقتدار اجرای دستورهایی با دسترسی کاربر سطح بالا (Superuser) را همچنین دارد. دسترسی این چنینی، توان های نامحدودی در سطح سیستمی دراختیار بدافزار صبر می دهد. به علاوه، درِ پشتی به اطلاعات حساس کاربر نیز دسترسی محسوس می نرم که از میان آن ها می نبوغ بوسیله کوکی های مرورگر رمز کرد که بخاطر ورود خودکار به احصائیه های کاربری تو وب سایت ها استفاده می شوند. پس از انتصاب درِ پشتی، اپلیکیشن مخرب و ظاهرساز آن از صفحه ی اصلی گوشی و منو برنامه ها حذف می شود و تنها در تنظیمات سیستم می قابلیت آن را رویت.
پست اطلاع رسانی فوریه را نیتان کالیر، محقق انبازی Malwarebytes، نوشته بود. او تحقیقات خویشتن را پس از گزارش کاربر فداکاری ارتکاب انصاف که بدافزار xHelper پس از دوبار پاک شدن بوسیله وسیله ی آنتی ویروس، بازهم در دستگاه اندرویدی او اجرا می شد و حتی پس از بازیابی کارخانه ای دستگاه، بازهم بدافزار شروع بوسیله کار می کرد.
کالیر در نتایج تحقیق خویشتن خبردار شد انتصاب و اجرای مکرر بدافزار به دلیل بود فایل نصبی بوده است که تو پوشه ای نهان در دستگاه قرار دارد. پوشه ی مذکور با روش های مرسوم پاک شدنی نبود و نحوه ی ورود و کپی شدن پوشه در دستگاه آلوده نیز روبرو نمی شد. کالیر مقدمه تصور کرد پوشه به صورت پیش فرض و از مبدا در گوشی وجود داشته است؛ البته این انگاره ی او بازهم چرایی ناتوانی آنتی ویروس در پاک کردن آن را نمودار نمی کرد. به علاوه، او نمی دانست چرا پس از پاک شدن احتمالی فایل برنگ خون یا بازیابی کارخانه ای دستگاه، بازهم بدافزار گمارش می شود.بدافزاری بوسیله نام Triadaبدافزار با تو دست شهود کنترل سیستمی، خود را دربرابر هرگونه اقدام برای پاک کردن مقاوم می بطی ء
ایگور گالوین، جستجوگر آزمایشگاه امنیتی کسپرسکی، هفته ی گذشته مقاله ای منتشر کرد که بوسیله بسیاری از استفسار ها درباره ی بدافزار جان سخت پاسخ عدالت. او می گوید آلودگی مجدد مایه ها به دلیل دانلود و نصب مجدد فایل ها به وسیله ی تروجان مشهوری به نام Triada بوده است. این تروجان پس از انتصاب بدافزار xHelper روی دستگاه قربانی اجرا می شود. Triada ابتدا وسیله را روت و سپس با بهره گیری از دسترسی های سیستمی سطح بالا، تعدادی فایل مخرب در پارتیشن سیستمی نصب می کند. این روند با تغییر حالت پارتیشن سیستمی بوسیله نوشتن ایفا می شود. Triada برای منیع ترکردن فایل های مخرب، بارانی تغییرناپذیر» داخل مشخصات آن ها اضافه می کند که عایق از پاک شدنشان حتی بوسیله مشت کاربر با دسترسی سطح بالا می شود. البته می توان این صفت را با اجازه chattr پاک کرد.
فایلی به معروفیت install-recovery.sh فایل های موجود در پوشه ی /system/xbin را طلبیدن می یواش. این اقدام بوسیله بدافزار امکان می دهدبا هر بار بارگذاری مجدد دستگاه ایفا شود؛ درنتیجه به گفته ی گالوین، با آلودگی جان ابدار» روبه رو می شویم که کنترل فوق العاده ای روی جهیز قربانی دارد.
گالوین درون مصاحبه ای با تشریح عملکرد بدافزار می گوید:آلوده شدن به xHelper آن چنان شاق نیست. دستگاه هایی که با حمله ی این بدافزار مواجه می شوند، احتمالا به حفاظ های امنیتی سیستمی مجهز نیستند و دربرابر گمارش این سنخ بدافزارها آسیب پذیر هستند. بوسیله علاوه پس از نصب بدافزار، پاک کردن آن برای کاربر بسیار دشوار می شود؛ درنتیجه، تعداد کاربران آلوده به xHelper احتمالا با سرعت اضافی افزایش رک می کند و بدافزار تا مدتی طولانی داخل مایه های قربانی باقی می ماند.
جستجوگر امنیتی کسپرسکی ابتدا احتمال عدالت شاید با انتظام مجدد پارتیشن سیستمی به حالت نوشتن، بتوان بدافزار را پاک کرد. البته او اندکی بعد نظری ی خود را پس گرفت. گالوین درباره ی این نظریه می گوید:ترقی دهندگان Triada این راهکار را نیز بست کرده اند. آن ها روش محافظتی دیگری برای فایل خود اجرا کرده اند که با تبدیل کتابخانه ی سیستمی /system/lib/libc.so امکان پذیر شده است. این کتابخانه شامل کدهای مرسومی می شود که تقریبا تمامی فایل های اجرایی موجود تو مایه از آن ها استعمال می کنند. Triada کدهای عام خود را برای عملکرد mount تو حافظه ی سیستمی جایگزین کدهای پیش فرض می کند؛ درنتیجه، کاربر نمی تواند مجددا پارتیشن سیستمی را بوسیله حالت نوشتن تغییر دهد.مقاله های مرتبط:بنیانی ترین رخدادهای امنیتی سایبری درون دهه اخیرآلودگی ۴۵ هزاره دستگاه اندرویدی به بدافزار xHelper
خوشبختانه رویه آلوده سازی دوباره که در مقاله ی اخیر کشف شد، تنها روی دستگاه های اندرویدی حاضر بوسیله نسخه های باستانی جهیز عامل اجرا می شود که آسیب پذیری های سطح روت دارند. بوسیله هرحال، گالوین هنوز احتمال می دهد در برخی موارد، شاید xHelper ازطریق فایل های مخرب نصب شده به صورت پیش فرض در گوشی هوشمند خواه تبلت، درگاه خود را حفظ کردن می نرم.
کاربران قربانی می توانند با استعمال از حالت Recovery گوشی هوشمند (درصورت وجود)، فایل مخرب libc.so را با فایل اصلی و پیش تخیل موجود در فرمور اصلی تعویض کنند. آن ها سپس می توانند فایل های بدافزار را از پارتیشن سیستمی پاک یا برای اطمینان نهایی دستگاه را فلش کنند.
تحقیقات گالوین جزئیات بسیاری از روش هوشمندانه ی آلوده سازی مایه را تطویل می دهد که شاید در حمله های مشابهی تو آینده استعمال شود. درواقع، چنانچه آسیب پذیری های سطح روت جدید در نسخه های جدید اندروید پیدا شوند، شاید شاهد پیاده سازی حمله های امنیتی مشابه تو نسخه های جدید هم باشیم.بیشتر بخوانید:با ساده ترین نحو ها بخاطر تحول کیبورد اندروید آشنا شویدآیفون SE 2020 دربرابر رقبای اندرویدی؛ میان رده ای با قوی ترین پردازنده بازارگوگل با به روزرسانی Camera Go عکاسی را در گوشی های مفت قیمت بهبود می بخشدگوگل دیگر آمار توزیع نسخه های گوناگون اندروید را درون وب سایت خود منتشر نمی کندآمریکایی ها در فصل شروع ۲۰۲۰ بیشتر بوسیله خرید گوشی های اندرویدی تمایل داشته اند
درباره این سایت