باج‌افزار جدید DoubleLocker
شنبه بیست و یکم بهمن ۱۳۹۶ ساعت 13:13 توسط موسسه ترسیم رایانه شرق | 
محققان امنیتیESET، یک نوع باج‌افزار جدید به نام DoubleLocker را شناسایی کرده‌اند که دستگاه‌های اندروید را با استفاده از تکنیک‌هایی که تا کنون توسط تروجان‌ها مورد استفاده قرار گرفته است، آلوده می‌کند. این اولین باج‌افزاری است که هم‌زمان دیتا را رمزگذاری کرده و PIN تلفن‌همراه را تغییر می‌دهد.
محققان امنیتیESET، یک نوع باج‌افزار جدیدی را شناسایی کرده‌اند که دستگاه‌های اندروید را با استفاده از تکنیک‌هایی که تا کنون توسط تروجان‌ها مورد استفاده قرار گرفته است، آلوده می‌کند. این اولین باج‌افزاری است که  هم‌زمان دیتا را رمزگذاری کرده و PIN تلفن‌همراه را تغییر می‌دهد.
 

لازم به ذکر است که تاکتیک سوءاستفاده از سرویس‌های دسترسی قبلاً توسط تروجان‌های اندرویدی استفاده شده‌است و اولین بار است که برخی مجرمان‌سایبری این رویکرد را در مورد این باج‌افزار استفاده کرده‌اند. این باج‌افزار روی همه گوشی‌های اندرویدی؛ چه آنهایی که روت شده‌اند یا نشده‌اند کار می‌کنند و کل سیستم را در اختیار هکرها قرار می‌دهد. این باج‌افزار موسوم به DoubleLocker نام‌گذاری شده که یک عمل دو طرفه را برای قفل‌کردن تلفن‌همراه انجام می‌دهد و مخصوص سیستم عامل اندروید است. بدان معنا که، تمامی فایل‌ها را رمزنگاری می‌کند و PIN را نیز تغییر می‌دهد. نحوه ورود این باج‌افزار روی گوشی اندرویدی به‌صورت یک فایل Adobe Flash است که کاربر روی آن کلیک کرده تا دانلود شود و در ادامه برای نصب، ظاهراً خود را به سایت متصل می‌کند تا از خدمات و سرویس Google Play  استفاده کند و پس از اجازه دسترسی، اقدام به فعالیت‌های مخربانه خود خواهد نمود. سپسDoubleLocker از طریق بازیابی محتویات Home، شروع به بهره‌برداری از مجوزها می‌کند و قابلیت دسترسی پیشرفته وب را برای نصب اسکریپت‌ها و نظارت بر متن را فراهم می‌کند. هنگامی‌که مجوزها اعطا می‌شوند باج‌افزار به‌عنوان برنامه کاربردی Home به‌طور پیش‌فرض نصب می‌شود. این بدان معنی است هنگامی‌که کاربر بعد از جبران خسارت، از صفحه اصلی بازدید خواهد کرد. همچنین این باج‌افزار، خود را روی "لانچر" گوشی جاسازی نموده و کنترل همه چیز را در دست می‌گیرد و سپس با فشردن کلید Home فعال شده و اقدام به قفل نمودن دستگاه خواهند نمود.
 

به گفته محققان ESET، برنامه کاربردی Home پیش‌فرض یک راه‌انداز می‌باشد و در حال حاضر برای افزایش پایداری و تداوم این بدافزار است. کاربر بر این باور است که بدافزارهای مخرب به‌طور پیش‌فرض اندروید است و بدافزاری است که ظاهر دستگاه را کنترل می‌کند و همچنین برنامه‌ها و ویجت‌ها راه‌اندازی می‌شود. همچنین مسئول ایجاد میانبرهای نامرئی برای فعال‌شدن خودکار زمانی است که قربانی روی دکمه صفحه اصلی کلیک می‌کند و بدان معنی است که دستگاه قفل شده‌است و هر بار که قربانی سعی در استفاده از صفحه اصلی تلفن‌همراه می‌کند، این اتفاق رخ می‌دهد.

دو روش که برای قفل‌کردن تلفن‌همراه تلاش می‌کنند شامل رمزگذاری فایل‌های ذخیره‌شده بر روی دستگاه و تغییر PIN دستگاه است. زمانی‌که دستگاه تلفن‌همراه شما قفل شده‌است و در همین فاصله‌ای که شما مشغول امتحان نمودن رمزهای متعدد برای بازکردن گوشی خود هستید، باج‌افزار تمامی اطلاعات گوشی شما را با الگوریتم AES رمزنگاری می‌نماید، که فایل اصلی آن با پسوند " cryeye" می‌باشد.

از سوی دیگر، PIN به‌طور مؤثر با تنظیم آن به یک عدد تصادفی، که حتی مهاجمان آن‌را ذخیره نمی‌کنند، تغییر می‌یابد. این بدان معنی است که دسترسی به دستگاه امکانپذیر نیست و سپس PIN پس از پرداخت "باج" بازگردانده می‌شود. در این روش، مهاجمان 24 ساعت به قربانیان مهلت می‌دهند تا "باج" را پرداخت نمایند. در صورت پرداخت شدن، کلید رمزگشایی برای باج‌افزار ارسال شده و خود برنامه اقدام به بازگشایی فایل‌ها و بازکردن قفل برنامه خواهد نمود.
شایان ذکر است کاربر قربانی باید طبق درخواست هکرها مبلغی را از طریق بیت‌کوئن (مبلغ 0،0113) (حدود 73 دلار) بپردازد تا قفل باز شود. مشاهده می‌کنیم که این درخواست در مقایسه با دیگر برنامه‌های باج‌افزار، رقمی نسبتاً کمی است. با این حال، ممکن است که هکرها مقدار کم هزینه جبران‌شده را به‌طور عمدی تعیین کرده‌اند تا قربانیان برای دسترسی به دستگاه خود، به¬راحتی بتوانند مبلغ "باج" را پرداخت نمایند.
 

تنها گزینه قربانیان این است که اگر نمی‌خواهند مبلغ باج را پرداخت کنند، راه‌اندازی و تنظیم مجدد دستگاه از سوی کارخانه سازنده گوشی را در پی دارد، در این‌صورت تلفن‌همراه به‌طور کامل فرمت می‌شود و تمام داده‌های پشتیبان‌گیری‌شده به‌طور دائمی حذف خواهند شد. لازم به ذکر است که در حال حاضر برای این باج‌افزار، هیچ راه مقابله‌ای پیدا نشده است و شانس این‌که گوشی قفل‌شده، بتواند بدون نیاز به تنظیم مجدد از PIN استفاده کند روشن نیست. این تنها زمانی اتفاق می‌افتاد که دستگاه قبل از نصب باج‌افزار به حالت اشکال‌زدایی برسد. در این‌صورت، می‌توان فایل سیستم را از طریق دسترسی به یک رابط بین دستگاه اندرویدی و کامپیوتر (ADB)، دستگاه خود را کنترل و یا تغییراتی روی آن اجرا کرد، این روش به کاربر اجازه می‌دهد که دستگاه را به‌صورت دستی راه‌اندازی کند.
 

با این حال، پیشنهاد می‌کنیم که بهتر است از نصب برنامه‌ها و نرم‌افزارها از وب‌سایت‌های شخص ثالث اجتناب کنیم و فقط سیستم عامل معتبر را انتخاب نمائیم. DoubleLocker یک تهدید خطرناک برای تمام دستگاه‌های اندروید است و می‌تواند بر روی تلفن‌همراه تأثیر بگذارد و آن‌را ردیابی و کدگذاری نماید، که قربانی باید جهت بازگشایی دستگاه قفل‌شده، مبلغی را  جهت "باج" پرداخت نماید.

ترجمه: وحید ذبیح‌اله‌نژاد
مشخصات
رسانه خبری امنیت اطلاعات موسسه نرم افزاری ترسیم رایانه شرق
ارائه دهنده محصولات امنیتی ( آنتی ویروس ، اینترنت سکیوریتی ، توتال سکیوریتی ،فایروال )
www.tarsiem.ir
09203094689
telegram.me/tarsiemrayaneh
telegram.me/itmsecurity
tarsiem@yahoo.com
موضوعات وب
پیوندها
آرشیو وب

دریافت کد آمارگیر سایت

B L O G F A . C O M

تمامی حقوق برای رسانه خبری امنیت اطلاعات محفوظ است .