تروجان روتکسی چیست و چطور باید آن را از بین برد؟

26 آذر 1397 تروجان روتکسی چیست و چطور باید آن را از بین برد؟

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اخیراً بدافزار موبایل روتکسی (Rotexy) -ترکیبی از یک تروجان بانکی و یک بلاکرِ باج‌افزار- حسابی دارد جولان می‌دهد. متخصصین ما در طول ماه آگوست و سپتامبر بیش از 40 هزار اقدام جهت اِعمال این اپِ مخرب اندرویدی روی اسمارت‌فون‌های اندرویدی ثبت کردند. در ادامه با ما همراه شوید تا منشاء این خرابی را بررسی کرده و طریقه‌ی از بین بردن آن را به طور رایگان (تنها با استفاده از چند اس‌ام‌اس ساده) خدمتتان آموزش دهیم.

نحوه‌ی عملکرد تروجان بانکی روتکسی

روتکسی از طریق اس‌ام‌اس‌های حاوی لینک‌هایی جهت دانلود اپ -و برخی متن‌های جذاب و قابل‌ملاحظه- منتشر می‌شود. روتکسی سپس کاربران را مجبور می‌کند تا روی آن لینک‌ها کلیک و اپ را دانلود نمایند. در برخی موارد این پیام‌ها از طرف شماره‌ تلفن یک دوست ارسال می‌شود... بله اینگونه است که افراد مجاب می‌شوند روی لینک‌ها کلیک کنند. این تروجان، پس از آلوده کردن دستگاه حسابی مشغول آماده کردن بستر برای عملیات‌های بعدی می‌شود. روتکسی ابتدا چک می‌کند ببیند روی کدام دستگاه فرود آمده است. این کار  برای این است که فعالیت آنتی‌ویروس را قطع کند: اگر این بدافزار تشخیص دهد آنتی‌ویروسی در امولاتور در حال اجراست و نه در اسمارت‌فون، تنها تمرکز خود را روی اجرای اپ می‌گذارد. در ورژن فعلی روتکسی، اگر دستگاه خارج از کشور روسیه باشد همین اتفاق برایش می‌افتد.

تروجان روتکسی بعد از اینکه مطمئن شود دستگاه این الزامات اساسی را برآورده ساخته است شروع به کار می‌کند: درخواست حقوق ادمین. به لحاظ تئوری، کاربر می‌تواند چنین حقوقی به آن ندهد اما این درخواست آنقدر پاپ‌آپ می‌شود که نهایتاً استفاده از اسمارت‌فون را مشکل می‌کند و ناخواسته، کاربر مجاب می‌شود به این درخواست تن دهد. روتکسی که اکنون راه کثیف خود را پیدا کرده است، گزارش می‌دهد که این اپ نتوانست لود شود و بعد آیکون اپ را پنهان می‌کند.

این بدافزار سپس با صاحبان خود ارتباط برقرار می‌کند و اطلاعاتی در مورد دستگاه به آن‌ها می‌دهد. در ازای این اطلاع‌رسانی، دستورالعمل‌ها و مجموعه‌ای از قالب‌ها و متون دریافت می‌کند. روتکسی به طور پیش‌فرض مستقیماً با سرور  C&C ارتباط برقرار می‌کند؛ اما سازندگان آن روش‌های دیگری برای ارسال سفارش‌ها از طریق پیام‌رسان ابری گوگل و اس‌ام‌اس اعمال کرده‌اند.

روتکسیِ اس‌ام‌اس دزد

صحبت از اس‌ام‌اس شد.... روتکسی از اس‌ام‌اس‌ها سیر نمی‌شود. وقتی پیامی به گوشی آلوده داده می‌شود، این بدافزار گجت را در حالت خاموش (Silent)می‌گذارد تا قربانی متوجه اس‌ام‌اس دریافتی نشود. این تروجان سپس جلوی این پیام را گرفته و آن را با قالب‌های دریافتی از سوی سرور  C&C مطابقت می‌دهد. اگر چیزی تازه پیدا کرد (برای مثال رقم‌های آخر شماره کارت در نوتیفیکیشن اس‌ام‌اس بانکی موبایل)، آن را ذخیره کرده و سپس به سرور فوروارد می‌کند. علاوه بر این، روتکسی می‌تواند -به جای صاحب اسمارت‌فون- به چنین پیام‌هایی جواب دهد. اگر بنا به دلایلی هیچ قالب یا دستور خاصی از سوی سرور C&C دریافت نکرد، روتکسی می‌تواند براحتی همه‌ی مکاتبات روی اسمارت‌فون مبتلا را ذخیره کرده و آن‌‌ها را به بالادستان خود فوروارد کند. از همه بدتر، این بدافزار می‌تواند -طبق دستور مجرمین سایبری- به تمامی کانکت‌های داخل دفترچه تلفن گوشی لینکی برای دانلود خودش ارسال کند؛ این یکی از مأموریت‌های اصلی روتکسی است.

روتکسی، تروجان بانکی

دستکاری اس‌ام‌اس تنها تردستی روتکسی نیست؛ حتی تردستیِ اصل کاری‌اش هم نیست. حقه‌ی اساسی پولدار کردن سازندگانش است: که عموماً از طریق سرقت داده‌های کارت اعتباری میسر می‌شود. روتکسی برای انجام این کار روی نمایشگر گوشی یک نمایه‌ی فیشینگ می‌اندازد. ظاهر این صفحه می‌تواند متغیر باشد اما هدف کلی این است که به صاحب گوشی گفته شود که انتقال وجه آماده است و تنها باید برای دریافت آن جزئیات کارت اعتباری خود را وارد کنند. سازندگان روتکسی برای محکم‌کاری، اعتبار شماره کارت را نیز می‌سنجند. روتکسی ابتدا مطمئن می‌شود که شماره کارت صحیح است (محض اطلاع باید بگوییم ارقام کارت‌های اعتباری تصادفی نیستند و بر اساس یک سری قوانینی ساخته ‌شده‌اند). سپس چهار رقم آخر کارت را از اسم‌ام‌اس بانکیِ قطع‌شده برداشته و آن‌ها را با ارقام وارد شده روی صفحه‌ی فیشینگ مطابقت می‌دهد. اگر یک جای کار می‌لنگید آنگاه روتکسی خطایی ارسال نموده و کاربر را مجبور می‌کند شماره کارت خود را به صور صحیحی وارد کند.

روتکسیِ باج‌افزار

برخی اوقات روتکسی از سرور C&C  دستورات دیگری نیز دریافت می‌کند و بدین‌ترتیب سناریو به کل عوض می‌شود. این بار روتکسی به جای نمایش صفحه‌ی فیشینگ، نمایشگر اسمارت‌فون را با پنجره‌ای تهدیدکننده بلاک می‌کند. این پنجره در ازای تماشای ویدیوهای ممنوع درخواست پرداخت پول می کند.

 

چطور اسمارت‌فونی که به تروجان روتکسی مبتلا شده است را از بلاک درآوریم؟

خبر خوب: احتمال آن‌بلاک کردن اسمارت‌فون آلوده به تروجان روتکسی و خلاص شدن از شر این ویروس (بدون نیاز به کمک متخصص) وجود دارد. همانطور که در فوق اشاره شد، روتکسی می‌تواند از طریق اس‌ام‌اس دستور دریافت کند. و خوبی‌اش این است که این دستورها لزوماً نباید از سوی شماره تلفن خاصی ارسال شده باشند... هر شماره‌ای می‌تواند آن را ارسال کند. این بدان معناست که اگر اسمارت‌فون شما بلاک باشد و نمی‌توانید پنجره‌ی مخرب را ببندید، تنها کافیست گوشی دیگری در اختیار داشته  (برای مثال گوشی یکی از دوستان یا آشنایان) و دستورالعمل‌های زیر را انجام دهید:

  • با متن 393838 اس‌ام‌اسی به شماره‌ی خود ارسال کنید. آنوقت بدافزار گمان می‌کند دستوری از سوی سرور C&C است. روتکسی فکر می‌کند آدرس سرور تغییر کرده و به همین دلیل دیگر از دستورهای مجرمان سایبری را اطاعت نخواهد کرد.
  • سپس متن 3458 را به شماره خود ارسال کنید- این کار، حقِ ادمین و حوزه‌ی اختیارات را از تروجان خواهد گرفت.
  • در آخر، با متن stop_blocker، اس‌ام‌اسی به گوشی خود بزنید: این فرمان روتکسی را مجبور می‌کند سایت یا بنری را -که نمایشگر را مسدود کرده است- پاک کند.
  • چنانچه بعد از انجام این اقدامات، تروجان دوباره از شما تقاضای حق ادمین کرد، دستگاه را ریستارت کرده و در حالت safe mode بگذارید. سپس به بخش Application Manager یا Applications and Notifications (در هر گوشی اندرویدی این تنظیمات می‌تواند ترتیب متفاوتی داشته باشند) و بعد بدافزار را از دستگاه پاک کنید (این بار دیگر هیچ مقاومتی از سوی تروجان مشاهده نخواهید کرد).

چطور از خطرات روتکسی و دیگر تروجان‌های بانکی در امان بمانیم؟

عقل حکم می‌کند از همان ابتدا وقتی این تروجان از شما درخواست مجور ادمین می‌کند، امتناع کنید تا جلوی این همه دردسر گرفته شود. جلوی یک آلودگی سایبری را گرفتن کار چندان سختی هم نیست... تنها باید چند اقدام ساده انجام دهید:

  • روی لینک‌های مشکوک داخل پیام‌ها کلیک نکنید؛ حتی اگر کنجکاو هم شدید و به نظر آمد پیام از طرف دوست یا آشنایی باشد نیز این کار را انجام ندهید. برای مطمئن شدن می‌توانید به آن دوست زنگ زده و بپرسید آیا واقعاً او بوده که چنین پیامی ارسال کرده یا خیر.
  • اپ‌های اندرویدی را تنها از گوگل‌پلی دانلود کنید. همچنین خوب است اگر در بخش تنظیمات گوشی خود، نصب برنامه‌هایی را که از منابع ناشناخته آمده‌اند را قطع نماید.
  • از آنتی‌ویروس موبایلی قابل‌اطمینانی استفاده کنید که شما را در مقابل بدافزار (حتی اگر به طور تصادفی روی چیزی که نباید، کلیک کرده‌ باشید) محافظت می‌کند.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    8,817,200 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    2,937,200 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    11,757,200 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,407,200 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,407,200 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    5,877,200 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    10,584,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد