وبلاگ کسپرسکی آنلاین | تروجان روتکسی چیست و چطور باید آن را از بین برد؟

^{روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اخیراً بدافزار موبایل روتکسی (}^Rotexy^{) -ترکیبی از یک تروجان بانکی و یک بلاکرِ باج‌افزار-}^{حسابی دارد جولان می‌دهد. متخصصین ما در طول ماه آگوست و سپتامبر بیش از 40 هزار اقدام جهت اِعمال این اپِ مخرب اندرویدی روی اسمارت‌فون‌های اندرویدی ثبت کردند. در ادامه با ما همراه شوید تا منشاء این خرابی را بررسی کرده و طریقه‌ی از بین بردن آن را به طور رایگان (تنها با استفاده از چند اس‌ام‌اس ساده) خدمتتان آموزش دهیم.}

^{نحوه‌ی عملکرد تروجان بانکی روتکسی}

^{روتکسی از طریق اس‌ام‌اس‌های حاوی لینک‌هایی جهت دانلود اپ -و برخی متن‌های جذاب و قابل‌ملاحظه- منتشر می‌شود. روتکسی سپس کاربران را مجبور می‌کند تا روی آن لینک‌ها کلیک و اپ را دانلود نمایند. در برخی موارد این پیام‌ها از طرف شماره‌ تلفن یک دوست ارسال می‌شود... بله اینگونه است که افراد مجاب می‌شوند روی لینک‌ها کلیک کنند. این تروجان، پس از آلوده کردن دستگاه حسابی مشغول آماده کردن بستر برای عملیات‌های بعدی می‌شود. روتکسی ابتدا چک می‌کند ببیند روی کدام دستگاه فرود آمده است. این کار برای این است که فعالیت آنتی‌ویروس را قطع کند: اگر این بدافزار تشخیص دهد آنتی‌ویروسی در امولاتور در حال اجراست و نه در اسمارت‌فون، تنها تمرکز خود را روی اجرای اپ می‌گذارد. در ورژن فعلی روتکسی، اگر دستگاه خارج از کشور روسیه باشد همین اتفاق برایش می‌افتد.}

^{تروجان روتکسی بعد از اینکه مطمئن شود دستگاه این الزامات اساسی را برآورده ساخته است شروع به کار می‌کند: درخواست حقوق ادمین. به لحاظ تئوری، کاربر می‌تواند چنین حقوقی به آن ندهد اما این درخواست آنقدر پاپ‌آپ می‌شود که نهایتاً استفاده از اسمارت‌فون را مشکل می‌کند و ناخواسته، کاربر مجاب می‌شود به این درخواست تن دهد. روتکسی که اکنون راه کثیف خود را پیدا کرده است، گزارش می‌دهد که این اپ نتوانست لود شود و بعد آیکون اپ را پنهان می‌کند.}

^{این بدافزار سپس با صاحبان خود ارتباط برقرار می‌کند و اطلاعاتی در مورد دستگاه به آن‌ها می‌دهد. در ازای این اطلاع‌رسانی، دستورالعمل‌ها و مجموعه‌ای از قالب‌ها و متون دریافت می‌کند. روتکسی به طور پیش‌فرض مستقیماً با سرور}^C&C^{ارتباط برقرار می‌کند؛ اما سازندگان آن روش‌های دیگری برای ارسال سفارش‌ها از طریق پیام‌رسان ابری گوگل و اس‌ام‌اس اعمال کرده‌اند.}

^{روتکسیِ اس‌ام‌اس دزد}

^{صحبت از اس‌ام‌اس شد.... روتکسی از اس‌ام‌اس‌ها سیر نمی‌شود. وقتی پیامی به گوشی آلوده داده می‌شود، این بدافزار گجت را در حالت خاموش (}^Silent⁾^{می‌گذارد تا قربانی متوجه اس‌ام‌اس دریافتی نشود. این تروجان سپس جلوی این پیام را گرفته و آن را با قالب‌های دریافتی از سوی سرور}^C&C^{مطابقت می‌دهد. اگر چیزی تازه پیدا کرد (برای مثال رقم‌های آخر شماره کارت در نوتیفیکیشن اس‌ام‌اس بانکی موبایل)، آن را ذخیره کرده و سپس به سرور فوروارد می‌کند. علاوه بر این، روتکسی می‌تواند -به جای صاحب اسمارت‌فون- به چنین پیام‌هایی جواب دهد. اگر بنا به دلایلی هیچ قالب یا دستور خاصی از سوی سرور}^C&C^{دریافت نکرد، روتکسی می‌تواند براحتی همه‌ی مکاتبات روی اسمارت‌فون مبتلا را ذخیره کرده و آن‌‌ها را به بالادستان خود فوروارد کند. از همه بدتر، این بدافزار می‌تواند -طبق دستور مجرمین سایبری- به تمامی کانکت‌های داخل دفترچه تلفن گوشی لینکی برای دانلود خودش ارسال کند؛ این یکی از مأموریت‌های اصلی روتکسی است.}

^{روتکسی، تروجان بانکی}

^{دستکاری اس‌ام‌اس تنها تردستی روتکسی نیست؛ حتی تردستیِ اصل کاری‌اش هم نیست. حقه‌ی اساسی پولدار کردن سازندگانش است: که عموماً از طریق سرقت داده‌های کارت اعتباری میسر می‌شود. روتکسی برای انجام این کار روی نمایشگر گوشی یک نمایه‌ی فیشینگ می‌اندازد. ظاهر این صفحه می‌تواند متغیر باشد اما هدف کلی این است که به صاحب گوشی گفته شود که انتقال وجه آماده است و تنها باید برای دریافت آن جزئیات کارت اعتباری خود را وارد کنند. سازندگان روتکسی برای محکم‌کاری، اعتبار شماره کارت را نیز می‌سنجند. روتکسی ابتدا مطمئن می‌شود که شماره کارت صحیح است (محض اطلاع باید بگوییم ارقام کارت‌های اعتباری تصادفی نیستند و بر اساس یک سری قوانینی ساخته ‌شده‌اند). سپس چهار رقم آخر کارت را از اسم‌ام‌اس بانکیِ قطع‌شده برداشته و آن‌ها را با ارقام وارد شده روی صفحه‌ی فیشینگ مطابقت می‌دهد. اگر یک جای کار می‌لنگید آنگاه روتکسی خطایی ارسال نموده و کاربر را مجبور می‌کند شماره کارت خود را به صور صحیحی وارد کند.}

^{روتکسیِ باج‌افزار}

^{برخی اوقات روتکسی از سرور}^C&C^{دستورات دیگری نیز دریافت می‌کند و بدین‌ترتیب سناریو به کل عوض می‌شود. این بار روتکسی به جای نمایش صفحه‌ی فیشینگ، نمایشگر اسمارت‌فون را با پنجره‌ای تهدیدکننده بلاک می‌کند. این پنجره در ازای تماشای ویدیوهای ممنوع درخواست پرداخت پول می کند.}

^{چطور اسمارت‌فونی که به تروجان روتکسی مبتلا شده است را از بلاک درآوریم؟}

^{خبر خوب: احتمال آن‌بلاک کردن اسمارت‌فون آلوده به تروجان روتکسی و خلاص شدن از شر این ویروس (بدون نیاز به کمک متخصص) وجود دارد. همانطور که در فوق اشاره شد، روتکسی می‌تواند از طریق اس‌ام‌اس دستور دریافت کند. و خوبی‌اش این است که این دستورها لزوماً نباید از سوی شماره تلفن خاصی ارسال شده باشند... هر شماره‌ای می‌تواند آن را ارسال کند. این بدان معناست که اگر اسمارت‌فون شما بلاک باشد و نمی‌توانید پنجره‌ی مخرب را ببندید، تنها کافیست گوشی دیگری در اختیار داشته (برای مثال گوشی یکی از دوستان یا آشنایان) و دستورالعمل‌های زیر را انجام دهید:}

^{با متن 393838 اس‌ام‌اسی به شماره‌ی خود ارسال کنید. آنوقت بدافزار گمان می‌کند دستوری از سوی سرور}^C&C^{است. روتکسی فکر می‌کند آدرس سرور تغییر کرده و به همین دلیل دیگر از دستورهای مجرمان سایبری را اطاعت نخواهد کرد.}
^{سپس متن 3458 را به شماره خود ارسال کنید- این کار، حقِ ادمین و حوزه‌ی اختیارات را از تروجان خواهد گرفت.}
^{در آخر، با متن}^stop_blocker^{، اس‌ام‌اسی به گوشی خود بزنید: این فرمان روتکسی را مجبور می‌کند سایت یا بنری را -که نمایشگر را مسدود کرده است- پاک کند.}
^{چنانچه بعد از انجام این اقدامات، تروجان دوباره از شما تقاضای حق ادمین کرد، دستگاه را ریستارت کرده و در حالت}^{safe mode}^{بگذارید. سپس به بخش}^{Application Manager}^یا^{Applications and Notifications}^{(در هر گوشی اندرویدی این تنظیمات می‌تواند ترتیب متفاوتی داشته باشند) و بعد بدافزار را از دستگاه پاک کنید (این بار دیگر هیچ مقاومتی از سوی تروجان مشاهده نخواهید کرد).}

^{چطور از خطرات روتکسی و دیگر تروجان‌های بانکی در امان بمانیم؟}

^{عقل حکم می‌کند از همان ابتدا وقتی این تروجان از شما درخواست مجور ادمین می‌کند، امتناع کنید تا جلوی این همه دردسر گرفته شود. جلوی یک آلودگی سایبری را گرفتن کار چندان سختی هم نیست... تنها باید چند اقدام ساده انجام دهید:}

^{روی لینک‌های مشکوک داخل پیام‌ها کلیک نکنید؛ حتی اگر کنجکاو هم شدید و به نظر آمد پیام از طرف دوست یا آشنایی باشد نیز این کار را انجام ندهید. برای مطمئن شدن می‌توانید به آن دوست زنگ زده و بپرسید آیا واقعاً او بوده که چنین پیامی ارسال کرده یا خیر.}
^{اپ‌های اندرویدی را تنها از گوگل‌پلی دانلود کنید. همچنین خوب است اگر در بخش تنظیمات گوشی خود، نصب برنامه‌هایی را که از منابع ناشناخته آمده‌اند را قطع نماید.}
^{از آنتی‌ویروس موبایلی قابل‌اطمینانی استفاده کنید که شما را در مقابل بدافزار (حتی اگر به طور تصادفی روی چیزی که نباید، کلیک کرده‌ باشید) محافظت می‌کند.}

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.