بدافزارهای سارق اطلاعات، در کمین کاربران FMWhatsapp
نسخه اصلی برنامه واتساپ (Whatsapp) که برای گوشیهای اندرویدی ارایه شده، دارای محدودیتهای بسیار زیادی است. از این رو توسعهدهندگان برنامههای کاربردی، تعدادی نسخه اصلاح شده از این برنامه (که در اصطلاح به آنها «واتساپ مود شده (FMWhatsapp)» میگویند) را ارایه و در دسترس کاربران قرار دادهاند.
برنامه FMWhatsapp از جمله نسخههای اصلاح شده واتساپ است که دارای قابلیت های کاربردی زیادی میباشد. این نسخه ادعا میکند که در مقایسه با نسخه اصلی، امنیت بالاتری را فراهم نموده و قابلیتهای جذابی همچون مجموعهای از تمهای چت دلخواه و ایموجیهای شبکههای اجتماعی و همچنین قابلیت احراز هویت لمسی را در اختیار کاربران قرار میدهد.
با این وجود متأسفانه FMWhatsapp دارای آسیبپذیریهای بسیار زیادی است. مجرمان سایبری می توانند از این آسیبپذیریها سوءاستفاده کرده و توسط یک تروجان به نام “Triada”، دستگاه کاربرانی که از نسخههای تقلبی این برنامه استفاده میکنند را آلوده نمایند. عملکرد این تروجان به گونهای است که به سختی می توان آن را از روی دستگاه قربانی پاک کرد.
بر اساس یافتههای محققان امنیتی، هکرها تروجان Triada را از طریق یک SDK [1] تبلیغاتی وارد دستگاههای هدف میکنند.محققان BleepingComputer میگویند: «نسخههای تقلبی FMWhatsapp در گوگلپلی معمولاً شامل تبلیغات و دستورالعملهایی برای نحوه دانلود و نصب نسخههای مود شده به کاربران هستند. در حالی که نسخه اصلی این برنامه، چنین تبلیغاتی را به نمایش نمیگذارد».
سرقت اطلاعات و نصب بدافزارهای زیاد بر روی دستگاه کاربر
تروجان Triada پس از ورود به دستگاه قربانی، ابتدا اطلاعات آن را جمعآوری نموده و سپس آنها را به سرور فرماندهی و کنترل خود که تحت کنترل هکر قرار دارد، ارسال میکند. هکر نیز در پاسخ به این بدافزار، یک لینک را که حاوی کد مخرب دیگری است ارسال می کند. Triada این لینک را دانلود و بر روی دستگاه آلوده اجرا میکند. این روند همچنان ادامه می یابد تا Triada انواع مختلفی از بدافزارها را بر روی دستگاه قربانی بارگذاری و نصب کند.
بر اساس یافتههای محققان امنیتی، بعضی از این بدافزارها شامل موارد زیر هستند:
- Trojan-Downloader.AndroidOS.Agent.ic: سایر ماژولهای بدافزار را دانلود و اجرا میکند.
- Trojan-Downloader.AndroidOS.Gapac.e: بعضی از ماژولهای مخرب را نصب کرده و مسئولیت نمایش تبلیغات را برای کاربران بر عهده دارد.
- Trojan-Downloader.AndroidOS.Helper.a: تروجان xHelper را نصب نموده و تبلیغات نامرئی را در پسزمینه دستگاه اجرا میکند.
- Trojan.AndroidOS.MobOK.i: به نام مالک دستگاه، اشتراکهای پولی خریداری میکند.
- AndroidOS.Subscriber.l: اقدام به خرید اشتراکهای ویژه برای قربانیان میکند. از این رو هکرها در زمان نصب این برنامه، مجوز دسترسی به پیامهای متنی قربانیان را خواهند داشت.
- AndroidOS.Whatreg.b: اطلاعات کاربر را سرقت نموده و برای ورود به حسابهای کاربری واتساپ قربانیان، اقدام به درخواست کد اعتبارسنجی میکند.
بنا به گفته یکی از پژوهشگران امنیتی: «شناسایی تهدیدات بالقوه این برنامه، کار چندان آسانی برای کاربران نیست». کارشناسان توصیه میکنند کاربران باید این برنامه را از فروشگاههای مجاز قابل اعتماد دانلود نموده و فریب قابلیتهای بیش از حد آن را که در بعضی از سایت ها ارایه شده نخورند. اگرچه ممکن است امکانات کمتری در اختیارتان باشد ولی حداقل دستگاهتان با حجم زیادی از بدافزارها مواجه نخواهد شد!
بدافزار xHelper
xHelper یکی از بدافزارهایی است که توسط Triada بر روی دستگاه قربانی نصب می شود. این بدافزار میتواند ساعتها پس از پاک شدن از دستگاههای اندرویدی یا حتی پس از بازگردان دستگاههای آلوده به تنظیمات کارخانهای نیز آنها را دوباره آلوده کند. این بدافزار اولینبار در سال 2019 میلادی در بیش از 32000 دستگاه اندرویدی شناسایی شد که تا پایان این سال توانست حدود 45000 دستگاه را آلوده کند.
شیوه عملکرد xHelper به این صورت است که با ایجاد تغییر در مسیرهای وب[2]، قربانیان را به سمت فروشگاههای اندرویدی که APKهای آلوده در آنها قرار دارد، هدایت کرده و برنامههای نصب شده نیز این بدافزار را دانلود و اجرا میکنند. xHelper خودش را در بخشی از سیستم که در بازسازی مجدد در حالت Write قرار دارد، کپی میکند. بنابراین امکان پاک و حذف راحت آن حتی از طریق فلش کامل دستگاه های اندرویدی نیز وجود نخواهد داشت.
[1] کیت توسعه نرمافزار (Software Development Kit). یکی از کاربردهای SDK، نمایش تبلیغات در برنامههای کاربردی تلفن همراه است.
[2] Web Redirects