گوشی‌های حمایت‌شده توسط کمیسیون فدرال ارتباطات، مخرب از آب درآمدند

23 دی 1398 گوشی‌های حمایت‌شده توسط کمیسیون فدرال ارتباطات، مخرب از آب درآمدند

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ طبق گفته‌های محققین، گوشی‌های موبایل کم‌هزینه و حمایت‌شده توسط دولت با بدافزارهای از پیش‌نصب‌شده درشان عرضه شده و کاربران را با آگهی‌های تبلیغاتی ناخواسته بمباران کرده‌اند. ظاهراً این گوشیِ اندرویدیِ UMX U686CL -که تحت طرح کمکی کمیسیون فدرال ارتباطاتِ[1] Lifeline در اختیار شهروندان آمریکاییِ کم‌درآمد به قیمت 35 دلار قرار داده شد- از اپی به نام Settings استفاده می‌کرده است؛ اپی که به نقل از محققین در واقع یک تروجانِ دراپر بوده است. طبق گفته‌های ناتان کولیر، محقق شرکت Malwarebytes کار این اپ در حقیقت گرفتن و نصب سایر اپ‌ها یا بدافزارهاست.

متأسفانه، برای آن دسته از افرادی که در Lifeline ثبت‌نام کردند، اپ Settings حذف نمی‌شود. دلیلش هم این است که اپ Settings الزامی است و به کاربر، دسترسی به بخش تنظیمات هسته‌ای گوشی را می‌دهد. در نتیجه، اگر این اپ از حالت نصب خارج شود (uninstall) دستگاه دیگر هیچ کارایی‌ای نخواهد داشت.

کولیر در پستی اینطور نوشت: «کد مذکور به شدت مبهم‌سازی شده است. ما این بدافزار را Android/Trojan.Dropper.Agent.UMX شناسایی کرده‌ایم». او همچنین افزود که جزئیات اجرایی آن تا حد زیادی به جزئیات اجرایی و فنی یک تروجان دراپر موبایل دیگر شباهت دارد که در نوع مدل متغیر ALReceiver و ALAJobService ارائه می‌شود. بر اساس این تحلیل، «تنها تفاوت بین این دو کد، نام مدل‌های متغیرشان است». در اصل بنیادی‌شان، هر دو دراپر یک رشته‌ی کدسازی‌شده در کدشان دارند که وقتی کدگشایی شوند فایل آرشیو پنهان‌شده‌‌ای را به نام com.android.google.bridge.LibImp. نمایان می‌کنند. این آرشیو وقتی کدگشایی می‌شود -با استفاده از کدگشایی Base64- به کمک DexClassLoader در حافظه لود می‌شود. و وقتی آرشیو در حافظه ذخیره شده، دراپر با نصب یک تکه بدافزار دیگر رسالت خود را به پایان می‌رساند- در مورد UMX U686CL این بدافزار یک اپ آگهیِ مخرب موسوم به HiddenAds است.

به گفته‌ی کولیر، مشتریان Malwarebytes خود تأیید کردند که اپی به نام HiddenAds ناگهان روی گوشی‌هایشان ظاهر شده است. بعد از نصب روی دستگاه، آگهی‌هایی به صورت تمام‌صفحه به طور دوره‌ای کاربر را گیر می‌انداختند.

Wireless Update

اپِ از پیش‌نصب‌شده‌ی نگران‌کننده‌ی دیگری نیز وجود دارد که نامش Wireless Update است. این اپ نیز کارکردش به خودی خود، قانونی تلقی می‌شود (دریافت و نصب آپگریدهای بی‌سیمِ سیستم‌عامل برای گوشی) و البته کار خود را به طور خودکار انجام می‌دهد. با این وجود، همچنین به طور خودکار بدون رضایت کاربر سایر اپ‌ها را دریافت و نصب می‌کند.

کولیر: «از لحظه‌ای که به دستگاه موبایل خود لاگین می‌شوید، Wireless Update شروع می‌کند به نصب خودکار اپ‌ها. برای انجام این کار، رضایت هیچ کاربری جلب نشده است و همچنین هیچ دکمه‌ای هم برای تأیید این نصب‌ها وجود ندارد؛ تنها به خودی خود شروع می‌کند به نصب اپ‌ها».

این اپ‌ها تاکنون بدون بدافزار بوده‌اند اما قابلیت‌هایشان به طور آشکارا دری باز کرد تا بدافزار با خود تأثیرات مخربش را وارد آن‌ها کند. چیزی که این نگرانی را دوچندان می‌کند این است که کد Wireless Update درست مثل کد استفاده‌شده توسط بدافزایست ساخت شرکت به نام Adups Technology. کولیر: «Adups یک شرکت چینی است که حین جمع‌آوری اطلاعات کاربری دستگیر شد. این شرکت داشت برای دستگاه‌های موبایل بک‌در می‌ساخت و بله، داشت در حقیقت اینستالرهای خودکار درست می‌کرد».

بر اساس تحقیقات قبلی، اپ Adups در گذشته حین نصب HiddenAds و سایر تروجان‌ها روی دستگاه‌های قربانی مچش گرفته شد. شرکت Adups قبلاً سر اعتراف BLU Products، شرکت تولیدکننده‌ی گوشی‌های اندرویدی مبتنی بر اشتراک‌گذاری کلی اطلاعات (شامل پیام‌های متنی کاربرانش، اطلاعات لوکیشن برج سلولی در لحظه، لاگ‌های پیام متنی، فهرست کانتکت‌ها و اپلیکیشن‌های استفاده‌شده و نصب‌شده روی دستگاه‌ها) با این شرکت زیر نظر قرار گرفته بود. Wireless Update می‌تواند uninstall شود اما کاربران در نهایت مشکلات امنیتی‌شان هیچگاه رفع نمی‌گردد.

چه کسی مسئول است؟

کولیر با بررسی نحوه‌ی ورود این بدافزار به گوشی‌های مذکور فقط به بن‌بست و عدم مسئولیت‌پذیری رسید. چین کشوریست که این گوشی‌ها در آن تولید شدند و کد اپِ این دراپر نیز توسط مسئولین چینی ساخته شده است. طبق تحقیقات: «اکثر انواع قابل‌تشخیصِ این بدافزار دارند کاراکترها را به زبان چینی استفاده می‌کنند». بنابراین، می‌شود فرض را بر این داشت که اصلیت این بدافزار برای چین است. این خود سوالی ایجاد می‌کند: آیا دراپر جایی در راستای زنجیره تأمین (در طول روند تولید در آسیا) بدون آنکه تولیدکننده حتی روحش هم خبر داشته باشد تزریق شده بوده است یا نه.

سال گذشته گوگل افزایش میزان اقدامات مخرب عاملین را برای کاشت اپ‌های (به طور بالقوه) آسیب‌رسان روی دستگاه‌های اندرویدی گزارش داد. گوگل در تحلیل سالانه‌ی حریم‌شخصی و امنیت اندروید خود در سال 2018 چنین گفت: «عاملین مخرب، تلاش‌های خود را برای جاساز کردن PHAها در زنجیره تأمین –با استفاده از دو نقطه ورود اصلی- مضاعف کردند: دستگاه‌های جدیدی که با PHAهای از پیش‌نصب‌شده فروخته شده بودند و آپدیت‌های OTA (بی‌سیم) که در خود به صورت قانونی آپدیت‌های سیستم به همراه PHAها را داشته‌اند».

«توسعه‌دهندگان PHA‌های از پیش‌نصب‌شده تنها باید تولیدکننده‌ی دستگاه و یا شرکتی دیگر در زنجیره تأمین را به جای تعداد زیادی کاربر فریب می‌دادند؛ بنابراین خیلی راحت‌تر توانستند به توزیع در مقیاس بزرگ دست یابند». کولیر از شرکت Malwarebytes گفت نتوانسته اینکه شرکت خود آگاه از چنین بدافزارِ از پیش‌نصب‌شده‌ای بوده است یا نه تأیید کند. در مورد Wireless Update احتمال می‌دهیم شرکت انتخاب کرده بوده برای این قابلیت کار را با کد Adups جلو ببرد اما دوباره بگوییم- این هنوز تأیید رسمی نشده است. در عین حال، گوشی مارک Virgin دارد و توسط Assurance Wireless توزیع شده است. Assurance Wireless خود ارائه‌دهنده‌ی خدمات تلفن همراه فدرال Lifeline است که کارش عرضه‌ی گوشی و داده‌ها به مشتریان واجد شرایط است. این گوشی تحت طرح مذکور که حامی‌اش دولت 35 دلار قیمت دارد.

کولیر می‌گوید: «ما به Assurance Wireless در مورد یافته‌های خود اطلاع دادیم و از آن‌ها پرسیدیم چرا یک کریر موبایل که دولت آمریکا آن را حمایت مالی می‌کند دارد دستگاه موبایلی می‌فروشد که در خودش به طور از پیش‌نصب‌شده‌ای بدافزار دارد؟ با اینکه زمان خوبی برای جواب دادن بهشان دادیم اما هرگز پاسخمان را دریافت نکردیم».

سناریویی قدیمی

بدافزارهای از پیش‌نصب‌شده و اپ‌های ناخواسته پدیده‌ی تازه‌ای نیستند، این سناریوها دیگر قدیمی شدند. بعنوان مثال، در طی بررسی خرابی‌های بدافزار روی گوشی‌های مارک BLU، پی بردیم بسیاری از گوشی‌ها همراه با بدافزارهای از پیش‌نصب‌شده بودند و همچنین از طریق یک ابزار آپدیت طرف‌سوم بدافزارهای بیشتری را نیز دانلود کرده‌اند. اگر این کار تعمدی بود باشد عواقبش گریبان تولیدکننده‌ها را خواهد گرفت. برای مثال، لنوو این غول چینیِ تولیدکننده‌ی پی‌سی سر پیش‌لود کردن کد Superfish در سال 2014 حسابی به دردسر افتاد.

 

[1] Federal Communications Commission 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد