کرم سارق در گوشی‌های اندروید

[ircfc 285]

امروزه با توجه به رشد فزاینده استفاده از گوشی‌های اندروید در جهان ، به نظر می‌رسد که بدافزارها در اندروید روز به روز در حال افزایش هستند.

به گزارش ایتنا، دپارتمان فنی کوییک هیل یک بدافزار جالب دریافت کرده است که می‌تواند اطلاعات تاریخچهٔ تماس‌ها و صدای ضبط شدهٔ همه مکالمات تلفنی را ذخیره کرده و آن‌ها را به شخص بزهکار ارسال نماید.

بسیاری از بدافزارهای پیشین اندروید بدین صورت عمل می‌کنند که با ارسال یک پیام کوتاه یا برقراری یک تماس تلفنی با شماره های دارای سرویس ویژه هزینهٔ گزافی را به کاربران تلفن همراه تحمیل کرده و بدین ترتیب به راحتی به درآمد هنگفتی می‌رسند.

اما این تروجان خاص، صدای مکالمات را به فرمت AMR با اجازه دسترسی که قبلاً توسط کاربر تایید شده، ذخیره می‌نماید.

در زمان نصب برنامه، این بدافزار مجوز دسترسی برای اجرای کارهای زیر درخواست می‌کند:

دسترسی به موقعیت مکانی Cell-ID و WiFi

دسترسی به آپدیت‌های Cell-ID و WiFi

دسترسی به موقعیت مکانی GPS

دسترسی به اطلاعات مرتبط با شبکه‌های WiFi

مجاز کردن دسترسی با سطح پایین مدیریت نیروی الکتریسیته

مجاز کردن دسترسی فقط خواندنی به وضعیت تلفن

مجاز کردن استفاده از PowerManager WakeLocks (قفل بیداری مدیریت نیرو) برای نگه‌داشتن پردازشگر در حالت نیمه‌فعال (sleeping) یا صفحهٔ نمایش در حالت کاهنده (dimming)

برقراری تماس تلفنی بدون استفاده از واسط کاربری شماره‌گیر (بنابراین کاربر از تماس‌های برقرار شده توسط این تروجان بی‌خبر می‌باشد)

مانیتورینگ، تغییر یا قطع تماس‌های خروجی کاربر

باز کردن سوکت‌های شبکه

خواندن پیام‌های SMS

خواندن اطلاعات لیست تماس و دفترچه تلفن کاربر

ذخیره صدا

ارسال پیامک

نوشتن (بدون خواندن) اطلاعات تماس کاربر

نوشتن پیام‌های SMS

نوشتن در حافظه‌های جانبی

وقتی تروجان اجرا شد، خود را برای اجرای همیشگی در زمان روشن شدن گوشی برای شنود، با خط فرمان زیر ثبت می‌کند:

android.permission.ACTION_BOOT_COMPLETED

همچنین این بدافزار خطرناک ممکن است هر یک سرویس‌های زیر را فعال نماید:

GpsService

MainService

RecordService

SocketService

XM_SmsListener

XM_CallListener

XM_CallRecordService

این برنامه یک SMS شامل کد IMEI گوشی تلفن به شماره تلفن زیر ارسال می‌کند:

۱۵۸۵۹۲۶۸۱۶۱

سپس اقدام به ثبت اطلاعات زیر می‌کند:

لیست شماره تلفن‌ها

اطلاعات موقعیت جغرافیایی GPS

پیام‌های SMS دریافتی

پیام‌های SMS ارسالی

اطلاعات فوق در کارت SD در مکان زیر نوشته می‌شوند:

/sdcard/shangzhou/callrecord/

اطلاعات جمع‌آوری شده از طریق پورت ۲۰۱۸ به سرور زیر ارسال می‌گردد:

jin.۵۶mo.com

بهترین اقدام در برابر این نوع از بدافزارها، توجه داشتن به اعطای اجازه دسترسی به برنامه‌ها می‌باشد. از خودتان بپرسید که آیا این برنامه واقعاً نیاز به این قابلیت‌ها دارد؟ اگر شک دارید، بگویید نه! علاوه بر اینکه تشخیص این موارد برای کاربران معمولی کمی دشوار به نظر می‌رسد، تکنیک‌های برقراری امنیت نیاز به تخصص، دانش و فعالیت گسترده دارد که این وظیفه بر عهدهٔ شرکت‌های امنیتی می‌باشد.

اخیراً کوییک‌هیل اقدام به انتشار راهکار امنیتی ویژه اندروید کرده است. موبایل سکیوریتی اندروید کوییک هیل این تروجان را با نام Android.Nickispy.A شناسایی می‌کند.

منبع:ایتنا