چطور بدافزار ایجنت اسمیت را در اندروید شناسایی و حذف کنیم؟

   
نام نویسنده:
 جمعه 28 تیر 98 ساعت: 21:00:00

یک بدافزار جدید که گوشی‎های موبایل را هدف قرار داده 25 میلیون دستگاه را آلوده کرده که 15 میلیون از آن‎ها در هند قرار دارند. نام این بدافزار «ایجنت اسمیت» است. این بدافزار سیستم عامل موبایل اندروید را هدف قرار داده و اپلیکیشن‎های نصب شده را با یک نسخه‎ی مخرب جایگزین می‎کند. اما چطور ایجنت اسمیت را شناسایی و آن را متوقف کنیم؟ 

 

بدافزار ایجنت اسمیت چیست؟ 

ایجنت اسمیت یک بدافزار ماژول است که با استفاده از یک شکاف امنیتی در اندروید اپلیکیشن‎های موجود روی گوشی را با یک نمونه تقلبی مخرب جایگزین می‎کند. این بدافزار اطلاعات را نمی‎دزدد، درعوض اپلیکیشن‎های جایگزین شده تعداد زیادی تبلیغات به کاربر نشان داده یا با استفاده از اعتبار روی گوشی برای این تبلیغات پول پرداخت می‎کنند. 

«ایجنت اسمیت» نام شخصیت فیلم معروف ماتریکس است که دراصل یک ویروس بود. تیم تحقیقاتی چک پوینت می‎گوید که روشی که این بدافزار عمل می‎کند دقیقاً مشابه تکنیک‎های ایجنت اسمیت در تریلوژی ماتریکس است. 

جاناتان شیمونویچ، رئیس بخش تحقیقاتی موبایل شرکت چک پوینت می‏گوید:« این بدافزار در سکوت، اپلیکیشن‎های روی گوشی کاربر را هدف قرار داده و مبارزه با آن برای کاربر معمولی بسیار دشوار است. بهترین روش برای مبارزه با حملاتی مانند ایجنت اسمیت پیشگیری است.» 

ایجنت اسمیت تا به حال حدود پانزده میلیون دستگاه را آلوده کرده که بیشتر آن‎ها در هند قرار دارند. کشور بعدی بنگلادش است که در آن حدود دو میلیون و پانصد دستگاه به این ویروس آلوده هستند. پس از آن حدود سیصد هزار دستگاه آلوده در امریکا و 137 دستگاه در انگلستان شناسایی شده است. 

 

ایجنت اسمیت چطور کار می‎کند؟ 

محققان چک پوینت معتقدند که بدافزار ایجنت اسمیت ساخت یک شرکت چینی است که به توسعه دهندگان اندروید چینی امکان تولید و انتشار اپلیکیشن در بازار خارجی را می‎دهد. این بدافزار در ابتدا در اپ استور شخص ثالث «9Apps» منتشر شد. Apps9 کاربران هندی، عربی و اندونزیایی را هدف قرار می‎دهد. بدافزار ایجنت اسمیت در سه حالت کار می‎کند: 

1- یک اپلیکیشن دیگر قربانی را وسوسه می‎کند که بدافزار را نصب کند. این اپلیکیشن دارای فایل‎های مخرب کدگذاری شده است و مانند اپلیکیشن‎های گیمینگ یا عکاسی و یا محتوای مستهجن است که به خوبی کار نمی‎کند. 

2- کد درون این نرم‎افزار باز شده و فایل‏های مخرب را روی دستگاه نصب می‎کند. این بدافزار از Google Updater، Google Update for U یا com.google.vending برای مخفی کردن فعالیت‎های خود استفاده می‎کند. 

3- خود بدافزار یک لیست از اپلیکیشن‎های نصب شده می‎سازد. اگر یک اپلیکیشن با لیست طعمه همخوانی داشته باشد آن را با ماژول تبلیغات مخرب پر کرده و در ظاهر یک آپدیت جایگزین اپلیکیش اصلی می‎شود. 

ایجنت اسمیت

 

لیست طعمه شامل واتس‎اپ، اوپر، سوئیفت کی، فلیپ کارت و تروسلار است. ایجنت اسمیت از سه شکاف امنیتی اندروید از جمله  Janus, Bundle و Man-in-the-Disk به طور همزمان استفاده می‎کند. ترکیب این سه باعث می‎شود که این بدافزار یک بات‎نت ایجاد کند. چک پوینت معتقد است که ترکیب این سه ایجنت اسمیت را یک بدافزار بسیار خطرناک تبدیل کرده است. 

 

ماژول‎های بدافزار ایجنت اسمیت 

بدافزار ایجنت اسمیت از یک ساختار ماژول برای حمله استفاده می‎کند که شامل این موارد است: Loader, Core, Boot, Patch, AdSDK, Updater.

بدافزار

 

اپلیکیشن اصلی که حاوی لودر بدافزار است به نظر یک نرم‎افزار خوب و قانونی می‎رسد. لودر باز شده و ماژول هسته را اجرا می‎کند که با سرور فرمان و کنترل بدافزار ارتباط برقرار می‎کند. سرور فرمان و کنترل لیست طعمه را می‎فرستد. اگر هرکدام از این اپلیکیشن‌ها روی گوشی قربانی یافته شد بدافزار با استفاده از شکاف امنیتی ماژول، بوت را در اپلیکیشن طعمه تزریق می‎کند. 

دفعه بعدی که اپلیکیشن قربانی باز شود ماژول بوت ماژول پچ را اجرا می‎کند که برای معرفی تبلیغات از AdSDK استفاده می‎کند. یک المان جالب دیگر ایجنت اسمیت این است که به یک اپلیکیشن مخرب محدود نمی‎شود. اگر چندین اپلیکیشن در لیست طعمه قرار داشته باشد تمام آن‎ها را با نسخه‎های مخرب جایگزین می‎کند. ایجنت اسمیت همچنین پچ‎های مخرب خود را مدام آپدیت می‎کند. 

 

حذف اپلیکیشن ایجنت اسمیت از گوگل پلی 

عامل اصلی و اولیه انتشار ایجنت اسمیت اپ استور 9Apps بود اما گوگل پلی نیز مصون نماند. چک پوینت یازده اپلیکیشن را در گوگل پلی استور یافته که حاوی یک سری فایل مخرب مرتبط با ایجنت اسمیت هستند. نسخه‎های گوگل پلی ایجنت اسمیت از یک سری تکنیک متفاوت استفاده می‎کنند اما هدف یکسانی را دنبال می‎کنند. چک پوینت این اپلیکیشن‎های مخرب را به گوگل گزارش کرده و این نرم‎افزارها از گوگل پلی استور حذف شده‌اند. 

 

چطور ایجنت اسمیت را از اندروید شناسایی و حذف کنیم؟ 

شناسایی ایجنت اسمیت بسیار ساده است. اگر اپلیکیشن‎های شما به طور ناگهان و بدون توقف تبلیغات پخش می‎کنند باید بدانید که مشکلی وجود دارد. تبلیغاتی که بدافزار به شما نشان میدهد وجود خارجی ندارند. اما از آنجایی که ایجنت اسمیت در سکوت کار می‎کند، مشاهده‎ی تغییرات اساسی در روند کار خود اپلیکیشن کمی دشوار است. درضمن به خاطر داشته باشید که ایجنت اسمیت تنها بدافزاری نیست که به شما تبلیغات نشان می‎دهد، درنتیجه اگر گوشی اندروید شما خیلی زیاد تبلیغات دریافت می‎کند ممکن است مشکل از یک تبلیغ‎افزار یا بدافزار دیگر باشد. 

اولین کاری که می‎توانید بکنید استفاده از ابزار امنیتی  Malwarebytes Security است. آن را نصب کرده و سیستم خود را اسکن کنید. این ابزار باید بتواند اپلیکیشن‎های مخرب را شناسایی کند. شما همچنین می‎توانید از آنتی‌ویروس‌های خوب دیگر نیز استفاده کنید.

 

بیشتر بخوانید:

کی‎لاگر چیست؟ صفحه کلید چطور به ما خیانت می‎کند؟

هکرها به هفت روش از طریق شبکه‎های اجتماعی هویت شما را جعل می‎کنند

 

ما را در شبکه‌های اجتماعی مختلف تلگرام، روبیکا، توییتر، اینستاگرام، سروش همراهی کنید. 

 

منبع: makeuseof

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید