IPIment ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

anti-emulator

شرکت تاکیان - توسعه امن کیان - تاکیان

بدافزار جدیدی که اطلاعات مهم را از برنامه های پیام رسان سرقت میکند

Takian.ir Malware for Android messenger apps

به گزارش سایت www.2-spyware.com، کارشناسان امنیتی یک بدافزار جدید را کشف کردند که که بدون اجازه به دستگاه‌های اندروید وارد می‌شود و اقدام به دزدی اطلاعت شخصی تایپ شده در برنامه های پیام رسان میکند. این برنامه مخرب به عنوان یک ویروس ساده ولی موثر است که قادر به پنهان کردن حضور خود در دستگاه به صورت موثر است.

این تروجان برای حفظ پایداری خود، تلاش میکند که فایل "/ etc / install-recovery.sh" را بر روی دستگاه هدف تغییر دهد. اگر این تغییر موفقیت‌آمیز باشد، ویروس با هر بار راه‌اندازی دستگاه مجددا فعال می‌شود.
به نظر می‌رسد که هدف اولیه این بدافزار، دزدیدن اطلاعات از همه پیام رسان های نصب‌شده روی دستگاه است و سپس آن را به یک Remote Server ارسال می‌کند. آدرس IP سرور ذکر شده از یک فایل پیکربندی محلی بازیابی شده‌است.این بدافزار فعالیت خود را بر روی پیام رسان های زیر به نتیجه میرساند:

  • Skype
  • Facebook Messanger
  • Twitter
  • Viber
  • Telegram Messenger
  • Line
  • Weibo
  • Tencent WeChat
  • Walkie Talkie Messenger, etc.

همان طور که مشاهده میکنید اکثر پیام رسان های محبوب در سراسر جهان به منظور استخراج اطلاعات، تحت‌تاثیر قرار می‌گیرند.

پیکربندی مبهم مانع تشخیص بد افزارهای مخرب می شود

با وجود عملکرد ابتدایی این بدافزار، متوجه میشویم که از رویکرد پیچیده‌ای برخوردار است که در هنگام گریز از تشخیص از آن استفاده می‌کند.به طور معمول نرم افزارهای امنیتی نمیتوانند این تهدید را تشخیص دهند، زیرا فایل پیکربندی و یک قسمت از ماژولهای آن را مسدود میکند. تحلیل و انالیز پویا نیز براحتی مقدور نیست زیرا این بدافزار از قابلیت های ضد شبیه سازی (anti-emulator) و اشکال زدایی (debugger) ستفاده می‌کند.
محققان امنیتی متوجه شده‌اند که بدافزار در داخل کد منبع خود، یک strings را پنهان کرده‌است تا در معرض قرار نگیرد. سرور C & C و مقادیر دیگر در یک فایل پیکربندی قرار گرفته اند که به بدافزار کمک می‌کند تا با کنترلر خود ارتباط برقرار کند.
این بدافزار اولین بار در یک برنامه چینی بنام ماژول ابری (Cloud Module) پیدا شد و از پکیجی با نام com.android.boxa استفاده کرد. با این حال، به این دلیل که هیچ فروشگاه نرم افزارهای اندروید (Play Store) در چین وجود ندارد، بسیار محتمل است که تهدید مغرضانه از طریق وب سایت‌های شخص ثالث و سایت‌های اپلیکیشن آندروید توزیع شود.

داده‌های نشت شده ممکن است برای اهداف غیر قانونی استفاده شوند

حتی اگر داده‌های جمع‌آوری‌شده ممکن است اطلاعات حیاتی مانند کلمه عبور بانکی را افشا نکنند، می‌تواند اطلاعات مفید دیگری مانند محل ملاقات، پروژه‌ها، نام‌ها و غیره را جمع‌آوری کند. این داده‌ها می‌توانند برای تعیین اهداف و گرایش‌های سازمان‌ها به کار روند.علاوه بر این، می توان آن را برای کمپین های جاسوسی یا برای کسب اطلاعات در مورد کارکنان خاص برای اجرای کمپین های فیشینگ و آلوده کردن شبکه ها با ransomware یا تهدیدات سایبری مشابه استفاده کرد.
مدیر خدمات مشاوره‌ای EMEA، آقای Neil Haskins نگران شیوه و روش شرکت‌ها و کارمندانی است که اطلاعات حساس را اداره می‌کنند:

"بسیاری از سازمان‌ها زمان، پول و منابع را صرف امنیت پلتفرم های ایمیل با آخرین و بزرگ‌ترین تکنولوژی می‌کنند. آن‌ها اسناد پالیسی های پست الکترونیکی را بیرون می‌آورند و سپس به کاربران در مورد استفاده مناسب از ایمیل آموزش می‌دهند، و فراموش می‌کنند که کارمندان نیاز دارند که اطلاعات بیشتری در خصوص پیام رسان ها دریافت ‌کنند، و در حقیقت، چون ایمیل آن‌ها را مسدود می‌کنند، آن‌ها از پیغام رسان ها برای عبور از فیلترینگ ایمیل ها استفاده می‌کنند. این طبیعت انسان است. با توجه به این حقیقت که اکثر مردم برنامه‌های پیام‌رسانی چندگانه در لب تاپ‌ها، تبلت ها و تلفن‌های همراه دارند، میبینیم که سطح حمله بسیار عظیم است."

برای اجتناب از نشت داده‌های غیر ضروری، ما به کاربران Android توصیه می‌کنیم که هرگز برنامه‌های کاربردی را از طرف ثالث دانلود نکنند و تنها از گوگل و فروشگاه های معتبر برای این منظور استفاده کنند.