روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ موجی خطرناک از باج افزارها راه افتاده است که قفل کردن دستگاه های اندروید را شامل می شود و از قربانیان می خواهند 200 دلار از طریق کارت های هدیه iTunes اپل پرداخت کنند و همین مسئله نگرانی های زیادی را در بین کارشناسان امنیتی ایجاد کرده است. حملات باج افزارها فصل جدیدی را در جهت نقاط آسیب پذیر نسخه های منسوخ شده اندروید و بسته های پشتیبانی نشده ویندوز XP رقم زده است.
Andrew Brandt کارشناس Blue Coat و تحلیلگر نقاط آسیب پذیر گفته است: "این مشکلی جدید و نگران کننده برای سیستم عامل های آندروید است. این باج افزارهای سارق، دستگاه های از رده خارج شده اندروید را که دارای بسته های پشتیبانی نیستند را مورد هدف قرار داده اند."
او گفت عمده حملات این باج افزارها از سال 2012 تا 2013 به سمت سیستم عامل اندروید 4 بوده است. بر اساس برآورد گوگل این نسخه سیستم عامل اندروید هنوز در 60% جهان استفاده می شود. Brandt گفته است مایکروسافت بسته های امنیتی ویندوز XP را متوقف کرده است و گوگل هم بسیار بعید است که این کار را بعد از 5 سال بخواهد برای خودش انجام دهد.
Brandt اضافه کرد: "ما دارای یک سیستم عامل عملیاتی هستیم که بروز رسانی هایش را دریافت نمی کند و کاربران در معرض خطر قرار دارند. نصب کردن برنامه ها بدون در نظر گرفتن شرایط آنها کاری بسیار اشتباه است."
Brandtدر مصاحبه با Threatpost گفته است که باج افزارها از حملات سه جانبه استفاده کرده اند. در ابتدا با استفاده از Ibxslt خود را در تبلیغات مخفی می کنند و سپس به مرورگر نسخه های اندروید 4.0.3 و مرورگر پیش فرض 4.4.4 نفوذ می کنند. این تبلیغات مخرب تاکنون سایتهای غیر اخلاقی را مورد حمله قرار داده اند.
مهاجمان در ماه جولای سال گذشته برنامه Ibxslt را از تیم هکرها به سرقت بردند. Brandt گفت به نظر می رسد مهاجمان از نسخه بروز شده Ibxslt که قلمرو گسترده تری از دسنگاه های اندروید 4 را شامل می شود مورد حمله قرار داده اند.
در فاز دوم Brandt گفت که در حال نصب یک نسخه سودمند از ابزار مسلح Towelroot jailbreak می باشند. Khang Nguyen کارشناس امنیتی کمپانی Duo گفته است: "در گذشته کاربران غیر حرفه ای با استفاده از یک کلیک Towelroot را برای گوشی های محبوب سامسونگ سری گلکسی و دستگاه هایی با سیستم عامل 4.4.2 اندروید انجام می دادند."
Nguyn گفت: towelroot برای بهره برداری از (CVE-2014-3153) می باشد که تحت تاثیر هسته سیستم عامل لینوکس 3.14.5 می باشد. CVE-2014-3153 توسط شرکت Comex و شخص Nicholas Allegra کشف شد و اولین بهره برداری از towelroot توسط هکر معروف و شناخته شده George Hotz انجام شد. البته این اولین بهره برداری عمومی از towelroot نبود اما اولین باری بود که این نرم افزار مخرب را تبدیل به سلاح کرد.
از towelroot به دو شکل استفاده می کنند. Brandt گفت towelroot معمولا از مجوزهای پاپ آپ در اندروید هنگامیکه کاربر از Google Play بهره می گیرد استفاده می کند و پس از این در سکوت و پس زمینه قرار می گیرد.
مجرمان با استفاده از ماشین آلات اندروید به صورت مخفیانه باج افزار Cyber.Police را بارگذاری کردند. این باج افزار رمزنگاری نمی شود و هنگامیکه کاربران در حال بازدید سایتها هستند پیامی به نمایش در می آید با این عنوان که "همه اقدامات غیرقانونی تحت کنترل هستند و تمام داده ها در پایگاه داده ها وزارت امنیت ایالات متحده آمریکا یا آژانس امنیت ملی کشور ذخیره می شود."
Brandt در تحقیق خود نوشته است: "این باج افزار داده های قربانی را تهدید به رمزگذاری نمی کند. در عوض خود دستگاه را قفل می کند و از کاربر می خواهد که دو عدد کارت هدیه 100 دلاری را از طریق iTune اپل خریداری و ارسال کند."
قربانیان پس از انتخاب کارت های 100 یا 200 دلاری و خرید آنها قفل گوشی شان باز می شود. استفاده از کارت های هدیه iTune برای پرداخت باج افزارها به جای پرداخت پول مجازی برای مجرمان سایبری بهتر است چون رمزگذاری نمی شود و حدود یک سال طول کشید تا کشف شود.
Brandt گفت ساده ترین و موثرترین راه برای حذف این باج افزار بازگرداندن دستگاه اندروید به حالت پیش فرض کارخانه است. هنگامیکه ما برنامه را اجرا کردیم متوجه شدیم که نام داخلی بدافزار net.prospectus می باشد و آماده است تمام برنامه ها را غیر فعال کند تا نتوانند جلو باج افزار را بگیرند. این مجموعه کار خود را در زمان بوت شدن آغاز می کند و پروفایل دستگاه را آلوده و ارتباط با سرور فرمان و کنترل را از کار می اندازد.
Nguyen گفته است: بهترین راه برای کاهش آسیب پذیری در برابر این باج افزار این است که از نسخه های بالای 4 سیستم عامل اندروید استفاده شود. کت آبی ها هم توصیه می کنند که از داده ها بر روی گوشی، کارت حافظه داخلی یا بر روی یک لوح فشرده نسخه پشتیبان تهیه کنید. Brandt گفت: چنانچه از تنظیم مجدد کارخانه استفاده کردید باید پیکربندی لازم را جهت نصب مجدد برنامه های مورد نیاز اعمال کنید.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
