حمله تهاجمی بدافزار باج‌گیری اندرویدی به امریکا

حمله تهاجمی بدافزار باج‌گیری اندرویدی به امریکا

بدافزارهای باج‌گیری در چند سال اخیر در دنیای سایبری در حال گسترش بوده و پس از رواج و فراگیر شدن پلتفرم اندروید آنان در حال تکامل و حملات گسترده می‌باشند. در اوایل فعالیت خود خانواده‌های بدافزارهای باج‌گیری در اندروید با ضدویروس‌های قلابی (مانند Android Defender) آمیزش داشته و توانایی قفل نمودن screen را داشتند. در سال گذشته محققین ESET بدافزار تهاجمی بانام Simplocker را کشف کردند که می‌توانست فایل‌های اندرویدی را رمزگذاری نماید. امسال این محققین اولین نوع بدافزار باج‌گیری را کشف کرده‌اند که قادر است علاوه بر قفل نمودن screen، برنامه خود را به دیگر وسایل انتقال دهد و PIN دستگاه را قفل نماید.
تروجان های قفل Screen اندرویدی با نشان دادن بی‌وقفه صفحه باج در screen (loop شدن) قادر بودند که دستگاه را به حالت قفل درآورند. با اجرا مکانیزم های اتوماسیون دفاعی، وسایل اندرویدی قادر به رفع مشکل این‌گونه بدافزار بودند و می‌توانستند دستگاه را (با استفاده از using Android Debug Bridge (ADB) یا غیرفعال نمودن Administrator Privileges و پاک کردن بدافزار نصب‌شده در safe mode) از حالت قفل خارج کنند.
امروزه نویسندگان بدافزار اندرویدی از روش و روندهای جدیدتری استفاده می‌کنند و ransom-locker های جدیدی را به وجود آورده‌اند. در این بدافزارهای نسل جدید، اگر این وسایل فاقد root privileges یا نوعی راه‌حل مدیریت امنیتی باشند کاربران راه مؤثری برای دسترسی به وسایل خود ندارند. اگر کاربر دستگاه را factory reset کند تمام داده‌های او پاک می‌شود. بدافزارهای جدید نیز از روش پیچیده‌ای برای دسترسی به و حفظ Administrator Privileges و جلوگیری از پاک‌سازی خود استفاده می‌کنند. این اولین مورد مشاهده‌شده چنین روش‌های تهاجمی در بدافزارهای اندرویدی است.

تجزیه تحلیل Android/Lockerpin
پس از نصب موفقیت‌آمیز، این بدافزار سعی بر دریافت Administrator Privileges بر روی دستگاه دارد. استفاده از این روش در حال گسترش مابین نویسندگان بدافزار اندرویدی است و این کار برداشتن آلودگی را سخت‌تر می‌کند. در نسخه‌های اولیه این خانواده locker اندرویدی، این کار مانند دیگر تروجان های اندرویدی انجام می‌گرفت و تائید بر این بود که کاربر با درخواست خود Administrator Privileges را برای بدافزار فعال کند.
در آخرین نسخه‌های بدافزارهای باج‌گیری، تروجان Administrator Privileges را با زیرکی خاصی دریافت می‌کند. یک پنجره تهاجمی تروجان بر روی لایه پنجره فعال‌سازی، که وانمود می‌کند که یک پچ به‌روزرسانی را نصب خواهد نمود، قرار می‌گیرد. زمانی که قربانی بر روی این نصب ظاهر معتبر ولی قلابی کلیک می‌کند، Administrator Privileges به‌طور پنهانی در پنجره لایه قبلی نیز فعال می‌شود.

پس از کلیک کردن بر روی گزینه “Continue” دستگاه کاربر تحت کنترل بدافزار قرار می‌گیرد چون تروجان Administrator rights را به دست آورده و می‌تواند آنرا قفل کند و یک PIN جدید برای Lock screen تعیین می‌کند.
پس از مدتی کوتاه از کاربر درخواست می‌شود که مبلغ 500 دلار برای دیدن و دانلود کردن مطالب غیراخلاقی پرداخت نماید و صفحه ذیل توسط کاربر دیده می‌شود.

پس از نشان دادن هشدار قلابی بالا، screen به سبک یک “تروجان lockscreen اندرویدی” قفل می‌شود. معمولاً کاربر باید بتواند در این مرحله ” Android/Lockerpin” را از دستگاه خود پاک کند (با استفاده از using Android Debug Bridge (ADB) یا غیرفعال نمودن Administrator Privileges و پاک کردن بدافزار نصب‌شده در safe mode) اما پس از هر هشدار PIN دوباره reset می‌شود و کاربر یا هکر نمی‌تواند دستگاه را باز کند. این PIN به‌صورت تصادفی انتشار میابد و به حمله‌کننده ارسال نمی‌گردد. تنها راه باز کردن قفل دستگاه reset کردن آن با factory settings است (اگر دستگاه root نشده باشد). دستگاه در این مرحله قفل است و فقط با root privileges بازخواهد شد.

روش دفاع از خود بدافزار Android/Lockerpin
بدافزار Android/Lockerpin می‌تواند به طرز نوین و پنهانی Admin privileges دستگاه را به دست آورد و همزمان از یک مکانیزم دفاعی مهاجمی برای حفظ و نگهداری این Admin privileges استفاده می‌کند. وقتی‌که کاربر سعی کند که Admin privileges بدافزار را غیرفعال کند با شکست مواجه می‌شود، چون تروجان یک عملکرد call-back را برای باز فعال‌سازی Admin privileges در زمان سعی بر برداشتن آن ثبت کرده است. وقتی‌که Device Administrator بار اول توسط تروجان فعال می‌گردد، اگر سعی بر برداشتن آن شود یک پنجره تهاجمی تروجان بر روی لایه پنجره Device Administrator گذاشته می‌شود و با کلیک بر روی “Continue” دوباره Admin privileges به بدافزار بازمی‌گردد.

به‌عنوان لایه اضافه محافظتی این بدافزار باج‌گیر در زمان تلاش کاربر برای غیرفعال کردن Admin Rights دستگاه تمام پروسه‌های AV فعال را می‌بندد. تروجان سعی می‌کند خود را در برابر 3 برنامه ضدویروس موبایلی (ESET Mobile Security و Avast و Dr.Web) محافظت نماید.

غیرفعال کردن تمام پروسه‌های AV فعال
بردار توضیح و آمار گسترش
این تروجان از روش‌های معماری اجتماعی برای گول زدن کاربر و نصب خود استفاده می‌کند. این بدافزار باج‌گیری وانمود می‌کند که یک ویدیوی غیراخلاقی یا یک برنامه دیدن ویدیوهای غیراخلاقی است و در تمام موارد نام آن “Porn Droid” است. بر اساس آمار ESET’s LiveGrid® بیشتر آلودگی‌ها در وسایل اندرویدی در آمریکا (75{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e}) می‌باشد. این روند نشان می‌دهد که نویسندگان بدافزار اندرویدی تمرکز خود را از حمله به کشورهای روسیه و اکراین تغییر داده و به سمت امریکا گرایش پیداکرده‌اند چون در این منطقه درآمد آنان بهتر است.

باز کردن قفل دستگاه
تنها راه باز کردن PIN صفحه Lockscreen بدون factory reset داشتن دستگاه root شده یا یک‌راه حل MDM با توانایی reset کردن PIN می‌باشد. با داشتن یک دستگاه root شده کاربر آنرا توسط Android Debug Bridge (adb) به کامپیوتر وصل می‌کند و فایل دارای PIN را حذف می‌کند. Debugging در موبایل باید فعال باشد (Settings -> Developer options -> USB Debugging). کاربرها می‌توانند بر اساس دستورات ذیل عمل کنند:
> adb shell
> su
> rm /data/system/password.key
پس از اجرا دستورات بالا، PIN یا lockscreen دارای اسم رمز برداشته می‌شود و کاربر می‌تواند به دستگاه دسترسی داشته باشد و در مواقعی reboot لازم است.
این تروجان توسط بازارهای غیر معتبر (شخص ثالث)، warez forum ها و torrent ها به دستگاه‌های موبایلی ارسال می‌شود. اقدامات پیشگیرانه فعال بهترین راه برای حاصل اطمینان از عدم آلوده شدن و قفل شدن دستگاه است. توصیه می‌شود که برنامه ضدویروس به‌روز داشته باشید.