یک بدافزار جدید که گوشیهای موبایل را هدف قرار داده 25 میلیون دستگاه را آلوده کرده که 15 میلیون از آنها در هند قرار دارند. نام این بدافزار «ایجنت اسمیت» است. این بدافزار سیستم عامل موبایل اندروید را هدف قرار داده و اپلیکیشنهای نصب شده را با یک نسخهی مخرب جایگزین میکند. اما چطور ایجنت اسمیت را شناسایی و آن را متوقف کنیم؟
بدافزار ایجنت اسمیت چیست؟
ایجنت اسمیت یک بدافزار ماژول است که با استفاده از یک شکاف امنیتی در اندروید اپلیکیشنهای موجود روی گوشی را با یک نمونه تقلبی مخرب جایگزین میکند. این بدافزار اطلاعات را نمیدزدد، درعوض اپلیکیشنهای جایگزین شده تعداد زیادی تبلیغات به کاربر نشان داده یا با استفاده از اعتبار روی گوشی برای این تبلیغات پول پرداخت میکنند.
«ایجنت اسمیت» نام شخصیت فیلم معروف ماتریکس است که دراصل یک ویروس بود. تیم تحقیقاتی چک پوینت میگوید که روشی که این بدافزار عمل میکند دقیقاً مشابه تکنیکهای ایجنت اسمیت در تریلوژی ماتریکس است.
جاناتان شیمونویچ، رئیس بخش تحقیقاتی موبایل شرکت چک پوینت میگوید:« این بدافزار در سکوت، اپلیکیشنهای روی گوشی کاربر را هدف قرار داده و مبارزه با آن برای کاربر معمولی بسیار دشوار است. بهترین روش برای مبارزه با حملاتی مانند ایجنت اسمیت پیشگیری است.»
ایجنت اسمیت تا به حال حدود پانزده میلیون دستگاه را آلوده کرده که بیشتر آنها در هند قرار دارند. کشور بعدی بنگلادش است که در آن حدود دو میلیون و پانصد دستگاه به این ویروس آلوده هستند. پس از آن حدود سیصد هزار دستگاه آلوده در امریکا و 137 دستگاه در انگلستان شناسایی شده است.
ایجنت اسمیت چطور کار میکند؟
محققان چک پوینت معتقدند که بدافزار ایجنت اسمیت ساخت یک شرکت چینی است که به توسعه دهندگان اندروید چینی امکان تولید و انتشار اپلیکیشن در بازار خارجی را میدهد. این بدافزار در ابتدا در اپ استور شخص ثالث «9Apps» منتشر شد. Apps9 کاربران هندی، عربی و اندونزیایی را هدف قرار میدهد. بدافزار ایجنت اسمیت در سه حالت کار میکند:
1- یک اپلیکیشن دیگر قربانی را وسوسه میکند که بدافزار را نصب کند. این اپلیکیشن دارای فایلهای مخرب کدگذاری شده است و مانند اپلیکیشنهای گیمینگ یا عکاسی و یا محتوای مستهجن است که به خوبی کار نمیکند.
2- کد درون این نرمافزار باز شده و فایلهای مخرب را روی دستگاه نصب میکند. این بدافزار از Google Updater، Google Update for U یا com.google.vending برای مخفی کردن فعالیتهای خود استفاده میکند.
3- خود بدافزار یک لیست از اپلیکیشنهای نصب شده میسازد. اگر یک اپلیکیشن با لیست طعمه همخوانی داشته باشد آن را با ماژول تبلیغات مخرب پر کرده و در ظاهر یک آپدیت جایگزین اپلیکیش اصلی میشود.
لیست طعمه شامل واتساپ، اوپر، سوئیفت کی، فلیپ کارت و تروسلار است. ایجنت اسمیت از سه شکاف امنیتی اندروید از جمله Janus, Bundle و Man-in-the-Disk به طور همزمان استفاده میکند. ترکیب این سه باعث میشود که این بدافزار یک باتنت ایجاد کند. چک پوینت معتقد است که ترکیب این سه ایجنت اسمیت را یک بدافزار بسیار خطرناک تبدیل کرده است.
ماژولهای بدافزار ایجنت اسمیت
بدافزار ایجنت اسمیت از یک ساختار ماژول برای حمله استفاده میکند که شامل این موارد است: Loader, Core, Boot, Patch, AdSDK, Updater.
اپلیکیشن اصلی که حاوی لودر بدافزار است به نظر یک نرمافزار خوب و قانونی میرسد. لودر باز شده و ماژول هسته را اجرا میکند که با سرور فرمان و کنترل بدافزار ارتباط برقرار میکند. سرور فرمان و کنترل لیست طعمه را میفرستد. اگر هرکدام از این اپلیکیشنها روی گوشی قربانی یافته شد بدافزار با استفاده از شکاف امنیتی ماژول، بوت را در اپلیکیشن طعمه تزریق میکند.
دفعه بعدی که اپلیکیشن قربانی باز شود ماژول بوت ماژول پچ را اجرا میکند که برای معرفی تبلیغات از AdSDK استفاده میکند. یک المان جالب دیگر ایجنت اسمیت این است که به یک اپلیکیشن مخرب محدود نمیشود. اگر چندین اپلیکیشن در لیست طعمه قرار داشته باشد تمام آنها را با نسخههای مخرب جایگزین میکند. ایجنت اسمیت همچنین پچهای مخرب خود را مدام آپدیت میکند.
حذف اپلیکیشن ایجنت اسمیت از گوگل پلی
عامل اصلی و اولیه انتشار ایجنت اسمیت اپ استور 9Apps بود اما گوگل پلی نیز مصون نماند. چک پوینت یازده اپلیکیشن را در گوگل پلی استور یافته که حاوی یک سری فایل مخرب مرتبط با ایجنت اسمیت هستند. نسخههای گوگل پلی ایجنت اسمیت از یک سری تکنیک متفاوت استفاده میکنند اما هدف یکسانی را دنبال میکنند. چک پوینت این اپلیکیشنهای مخرب را به گوگل گزارش کرده و این نرمافزارها از گوگل پلی استور حذف شدهاند.
چطور ایجنت اسمیت را از اندروید شناسایی و حذف کنیم؟
شناسایی ایجنت اسمیت بسیار ساده است. اگر اپلیکیشنهای شما به طور ناگهان و بدون توقف تبلیغات پخش میکنند باید بدانید که مشکلی وجود دارد. تبلیغاتی که بدافزار به شما نشان میدهد وجود خارجی ندارند. اما از آنجایی که ایجنت اسمیت در سکوت کار میکند، مشاهدهی تغییرات اساسی در روند کار خود اپلیکیشن کمی دشوار است. درضمن به خاطر داشته باشید که ایجنت اسمیت تنها بدافزاری نیست که به شما تبلیغات نشان میدهد، درنتیجه اگر گوشی اندروید شما خیلی زیاد تبلیغات دریافت میکند ممکن است مشکل از یک تبلیغافزار یا بدافزار دیگر باشد.
اولین کاری که میتوانید بکنید استفاده از ابزار امنیتی Malwarebytes Security است. آن را نصب کرده و سیستم خود را اسکن کنید. این ابزار باید بتواند اپلیکیشنهای مخرب را شناسایی کند. شما همچنین میتوانید از آنتیویروسهای خوب دیگر نیز استفاده کنید.
بیشتر بخوانید:
کیلاگر چیست؟ صفحه کلید چطور به ما خیانت میکند؟
هکرها به هفت روش از طریق شبکههای اجتماعی هویت شما را جعل میکنند
ما را در شبکههای اجتماعی مختلف تلگرام، روبیکا، توییتر، اینستاگرام، سروش همراهی کنید.
منبع خبر: makeuseof
ثبت نظر