رسانه خبری امنیت اطلاعات

هفته‌ی گذشته آزمایشگاه ای‌ست موفق به کشف اولین نمونه از باج‌افزار اندرویدی که پرونده‌های قربانی را رمز می‌کند، شده است.

نزدیک به یک سال پیش، یک نوع باج‌افزار در سامانه‌های اندروید که در پوشش یک محصول ضدبدافزاری در حال گسترش بود، به نام  Android Defender توسط سیمنتک کشف شد.  این باج‌افزار، مشابه یک محصول ضدبدافزاری بود که پس از مدتی صفحه‌ی نمایش کاربر را قفل می‌کرد و کاربران برای خلاصی از شر این باج‌افزار باید دستگاه خود را در حال Safe Mode دوباره راه‌اندازی می‌کردند.
ماه گذشته نیز باج‌افزار اندرویدی دیگری به نام پلیس در دستگاه‌های اندروید کشف شد، که در ابتدا به نظر می‌رسید رفتاری شبیه به باج‌افزار معروف Cryptolocker دارد، اما سپس مشخص شد این باج‌افزار قابلیت رمز‌گذاری پرونده‌های موجود در دستگاه‌های اندرویدی را ندارد.
اما به‌تازگی آزمایشگاه ای‌ست، یک باج‌افزار‌ اندرویدی به نام SimpleLocker را تشخیص داده است که پس از نصب در دستگاه اندرویدی، کارت حافظه‌ی دستگاه را پویش می‌کند و به‌ دنبال انواع خاصی از پرونده می‌گردد، سپس‌ آن‌ها را رمز می‌کند و برای رمز‌گشایی آن‌ها از کاربر درخواست پول می‌کند. در ادامه تحلیل مختصری از فعالیت این باج‌افزار آورده شده است. 
پس از این که بدافزار فعالیت خود را شروع می‌کند، پیغامی مشابه پیغام زیر به کاربر نمایش می‌دهد و سایر نخ‌های این باج‌افزار به صورت موازی در پشت صحنه در حال رمز‌گذاری پرونده‌های می‌باشند.

همان‌طور که مشاهده می‌شود، پیغام به زبان روسی است و این احتمال که بدافزار منطقه‌ی خاصی  از هدف را مورد نظر دارد،‌ بعید نیست. در این پیغام از کاربران خواسته شده که مبلغی پول را به شماره‌ حساب خاصی واریز کنند و سپس ظرف مدت ۲۴ ساعت دستگاه‌ آن‌ها از حالت قفل خارج می‌شود و در صورت عدم پرداخت، اطلاعات کارت حافظه‌ی آن‌ها از دست خواهد رفت.
توسعه‌دهندگان از سرویس MoneXy برای پرداخت هزینه‌ توسط قربانی استفاده کرده‌اند، این سرویس به‌راحتی قابل ره‌گیری نیست و مانند کارت‌های اعتباری معمول نمی‌توان از مراجع قانونی دارنده‌ی حساب را پیدا کرد. 
همان‌طور که مطرح شد این باج‌افزار تنها به دنبال پرونده‌ی خاصی برای رمز‌گذاری می‌گردد که غالباً پرونده‌های مرسوم تصاویر، ویدئو، مستندات و موزیک می‌باشند و سپس با یک روش رمز‌گذاری AES آن‌ها را رمز می‌کند.

این باج‌افزار مانند همه‌ی بدافزار‌ها قطعاً دارای یک کارگزار کنترل و فرمان‌دهی می‌باشد که به باج‌افزار این امکان را می‌دهد تا اطلاعات قابل شناسایی از دستگاه را برای مهاجمان ارسال کند و نکته این‌جاست که این کارگزار در یک دامنه‌ی onioin مربوط به شبکه‌ی ناشناس TOR میزبانی می‌شود.

همان‌طور که در تصویر بالا قابل مشاهده است، کدی که برای ارتباط با کارگزار کنترل و فرمان‌دهی در شبکه‌ی TOR لازم است آورده شده و همچنین برای تأیید پرداخت گزینه‌ای در نظر گرفته نشده است، مانند نمونه‌های باج‌افزار ویندوزی که قبلاً مشاهده شده است، بدافزار به فرمان‌های کارگزار کنترل و فرمان‌دهی گوش می‌دهد و احتمالاً زمانی که یک پرداخت انجام شد، پرونده‌ها رمزگشایی می‌شوند.
در نهایت همان‌طور که مشخص است این باج‌افزار قابلیت لازم برای رمز‌گذاری پرونده‌های مهم تلفن همراه قربانی را دارد و این پرونده‌های رمز‌شده بدون داشتن کلید قابل بازگردانی نیستند و البته در کدی که در این باج‌افزار مشاهده می‌شود، هیچ اثری از روش بازگردانی پرونده‌ها نیست، یعنی قابلیت رمز‌گشایی پرونده‌ها در این باج‌افزار ایجاد نشده است و حتی قربانیان با پرداخت پول نیز نمی‌توانند پرونده‌های خود را دوباره به‌دست آورند و توصیه می‌شود از پرداخت پول جداً خودداری کنند.