مطالب مطالب

سودجويي‌هاي باج‌افزار‌هاي اندرويدي و كنترل دستگاه قرباني با استفاده از انواع مختلف كليك‌دزدي

سودجويي‌هاي باج‌افزار‌هاي اندرويدي و كنترل دستگاه قرباني با استفاده از انواع مختلف كليك‌دزدي (Clickjacking)
 


شايد بتوان سال جديد ميلادي را سالي مهم براي باج‌افزارها قلمداد كرد. درواقع حجم باج‌افزارهاي كشف‌شده و تنوع آن‎‌ها دو برابر شده است. با اين اوصاف با رشد نفوذ و تأثير اين باج‌افزارها بايد آن‌ها را به‌عنوان مهم‌ترين تهديد تلقي نمود. باج افزارها نوع خاصي از بدافزارها هستند كه با ورود به گوشي شخص قرباني آن را قفل كرده و امكان دسترسي فرد را به اطلاعات خود از بين مي‌برند سپس يك پنجره كوچك (pop up) بر روي صفحه‌نمايش گوشي قرباني ظاهر مي‌شود كه حاوي پيامي با اين مضمون است كه در صورت نياز به بازيابي اطلاعات خود بايد مبلغي را به ‌حساب شخص سودجو بپردازيد تا اجازه دهد گوشي از حالت قفل شده خارج شود. در اين‌گونه موارد شخص قرباني چاره‌اي جز پاك كردن داده‌هاي دستگاه خود نداشته كه نتيجه‌ي آن از دست رفتن همه اطلاعات وي خواهد بود.
شركت امنيتي Symantec، نوع جديدي از باج‌افزار اندرويدي از نوع (Android.Lockdroid.E) را به‌تازگي كشف كرده است كه در نوع خود از تاكتيك‌هاي جديدي بهره مي‌برد كه شاخص اصلي آن استفاده از بسته نصب و راه‌اندازي جعلي است كه به‌ وسيله آن مجوزهاي قانوني را براي مديريت دستگاه قرباني به بدافزار خواهد داد. حال با داشتن اين امتياز قانوني بدافزار موردنظر توانايي رمزنگاري فايل‌هاي موجود در دستگاه قرباني را خواهد داشت، از قابليت‌هاي ديگري كه اين بدافزار دارد مي‌توان به قفل‌كردن دستگاه موردنظر، تغيير پين كد دستگاه و حتي حذف و پاك‌سازي تمام داده‌هاي كاربر از طريق فرمان بازگشت به تنظيمات كارخانه اشاره نمود.
روش‌هاي اخاذي مورد استفاده توسط باج‌افزار
باج‌افزارهاي اندرويدي به دنبال اخاذي از قربانيان خود هستند. در بيشتر مواقع هنگامي‌كه شخص قرباني برنامه كاربردي آلوده به باج‌افزار را دانلود و نصب مي‌كند، بدافزار صفحه‌نمايش گوشي را قفل نموده و يك هشدار جعلي تحت عنوان اينكه كاربر به داده‌هاي ممنوع دسترسي پيدا كرده است را به نمايش مي‌گذارد. در واقع بدافزار با اين كار ليست مخاطبان قرباني را جمع‌آوري و داده‌هاي آن را رمزنگاري مي‌نمايد.
بيشتر تكنيك‌ها براي سرقت داده‌ و سودجويي از اشخاص مبتني بر مهندسي اجتماعي است كه با فريب كا
ربر، او را قانع مي‌كند تا به برنامه كاربردي آلوده مجوزهاي مديريتي را بدهد. پيش‌تر تفويض مجوزهاي مديريتي به برنامه كاربردي آلوده و مراحل آن بهمراه توضيحات گمراه‌كننده بر روي صفحه‌نمايش گوشي قرباني قابل ‌مشاهده بود. در تصوير زير نمونه‌اي از اين قبيل گرفتن مجوزهاي مديريتي دستگاه، ديده مي‌شود.

   

  
با تفويض مجوزهاي مديريتي به برنامه كاربردي آلوده، بدافزار اقدام به قفل نمودن صفحه‌نمايش دستگاه، تغيير پين كد دستگاه و يا فعال سازي تنظيمات بازگشت به كارخانه را خواهد كرد. به‌علاوه بدافزار مانع از غيرفعال ساختن و يا حذف برنامه مورد نظر چه از طريق واسط‌كاربري و يا واسط‌هاي دستوري توسط كاربر مي‌شود.
اما اين باج‌افزار جديد، هوشمندانه‌تر عمل مي‌كند. در واقع پس از استفاده از مهندسي‌هاي اجتماعي پيچيده براي دريافت مجوزهاي مديريتي پس از نصب برنامه كاربردي و اجراي آن توسط كاربر، پيام فعال‌سازي سيستم توسط پوسته جعلي با مضمون "بسته‌هاي فرآيند نصب" مطابق شكل زير فراخواني مي‌شود.

 

 

 

كاربر در اينجا تصور مي‌كند كه بايد بسته‌هاي ضروري مربوط به گوگل را نصب كند و كليد ادامه را مي‌فشارد، اما درواقع بدافزار اولين گام براي فعال‌سازي برنامه مخرب را برداشته است.

گام اول
گام اول نمايش پيام‌هاي جعلي حاوي بسته‌هاي فرآيند نصب است كه در شكل بالا نشان داده شد. هنگامي‌كه اين پيام به نمايش گذاشته شود، در پس‌زمينه برنامه كاربردي تمام فايل‌هاي موجود در حافظه خارجي دستگاه را رمزنگاري نموده و اطلاعات حساس قرباني را جمع‌آوري مي‌كند. معمولاً پيام فعال‌سازي بايد در لايه بالايي واسط كاربري باشد، ولي اين بدافزار جديد از پنجره TYPE_SYSTEM_ERROR، همان‌طور كه در شكل زيرمي‌بينيد استفاده نموده و پيام خود را در بالاترين لايه قرار مي‌دهد و درنتيجه پيام فعال‌سازي اصلي كه شامل اخذ مجوزهاي مديريتي است پنهان مي‌ماند.

 

 

گام دوم
پس از گذشت چند ثانيه پيام نهايي با عنوان "اتمام فرآيند نصب" ظاهر مي‌شود. در اين گام است كه كاربر فريب خورده و تمامي مجوزهاي قانوني را به بدافزار مي‌دهد. پيغام "اتمام فرآيند نصب" درواقع يك پنجره TYPE_SYSTEM_OVERLAY است. يكي از مشخصات كليدي اين پنجره عدم تمركز بر روي ورودي‌هاي دريافتي است. اين بدان معني است كه پنجره مسئوليتي در رابطه با واسط كاربري UI براي اجراي فرآيندي همچون كليك بر روي كليد موردنظر را ندارد. درنتيجه همان‌طور كه در شكل زير نيز قابل‌مشاهده است هرگونه فشردن يا لمس كردن صفحه‌نمايش عملاً به پنجره زيرين منتقل‌شده و مجوزهاي مديريتي را به برنامه آلوده خواهد داد.

  

 

 

بايد اين نكته را اضافه نمود كه از نسخه 5 سيستم‌عامل اندرويد (lollipop) به بعد، دو پيغام نمايش داده شده در بالا بر روي پيغام‌هاي حق دسترسي سيستمي قرار نمي‌گيرند؛ بنابراين اين تكنيك تنها نسخه‌هاي قديمي‌تر از نسخه 5 اندرويد را متأثر خواهد كرد، كه تعداد دستگاه‌هاي موجود بالغ ‌بر 67 درصد از دستگاه‌هاي مبتني بر سيستم‌عامل اندرويد است و زنگ خطر را براي كاربران اين نسخه‌ها به صدا در خواهد ‌آورد.

راهكارهاي مقابله با اين دست باج‌افزارها
حتماً بر روي دستگاه خود برنامه ضدويروس بروز رساني شده داشته باشيد.
سيستم‌عامل دستگاه خود را بروز نگاه داريد.
تنها از فروشگاه‌هاي معتبر و رسمي، برنامه‌هاي كاربردي موردنظر خود را دانلود كنيد.
انتخاب صحيح و درست در برگزيدن و نصب برنامه‌هاي كاربردي بايد انجام گيرد. بهتر است قبل از نصب برنامه‌ها تحقيقات اندكي بر روي آن‌ها صورت گيرد و همچنين اجازه دسترسي‌هاي مورد نياز برنامه‌ها بررسي شود كه اگر فراتر از حد مورد نياز بود آن برنامه نصب نشود.

تاریخ انتشار مطلب: 18 بهمن 1394
بازدید ها: 352