یکی از محققان امنیتی فوریهی سال جاری مقالهای دربارهی بدافزار درِ پشتی در اندروید منتشر کرد که جزئیات مهمهی از آن را دراختیار رسانهها میگذاشت. طبق تحقیقات اولیه، این بدافزار «جانسخت» حتی از بازیابی کارخانهای گوشی هم جان - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - سالم بهدر میبرد و در سیستمعامل باقی میماند؛ درنتیجه، ازبینبردن بدافزار مذکور به روشهایی غیرمرسوم نیاز داشت.
تحلیل اولیه روی بدافزار جانسخت اندرویدی نشان داد مشکل مقاومت آن دربرابر بازیابی کارخانهای، وجود پوشهای - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - بود که نصبکنندهی تروجان در داخل آن قرار داشت. پس از بازیابی کارخانهای دستگاه اندرویدی، فایل نصب و پوشه از بین نمیرفتند. - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - بهمحض راهاندازی مجدد دستگاه، فایل نصبکنندهی تروجان مجددا درِ پشتی امنیتی را نصب میکرد. محققی که جزئیات ابتدایی بدافزار را منتشر کرد، اطلاعی از چگونگی اجرای این نوع مقاومت نداشت. حال محقق امنیتی دیگری پس از - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - چند ماه بررسی، جزئیات مقاومت بدافزار را منتشر کرده است. پیش از توضیح یافتههای جدید، ابتدا ببینیم بدافزار xHelper چه کارهایی انجام میدهد.
نرمافزار مخرب اندرویدی که شامل تروجان درِ پشتی میشود، با ظاهر سرویسی برای بهبود کارایی دستگاه و پاککردن فایلهای بیاستفاده منتشر میشود. سرویس آنتیویروس Malwarebytes نصب این اپلیکیشن را روی ۳۳ هزار دستگاه اندرویدی تأیید میکند - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - که اکثر آنها نیز - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - در ایالات متحده قرار دارد. سرویس آنتیویروس دیگر که به غول روسی دنیای - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - امنیت، یعنی کسپرسکی، تعلق دارد، تعداد دستگاههای آلوده را ۵۰ هزار دستگاه بیان میکند. درنهایت، شواهدی وجود ندارد که xHelper ازطریق گوگلپلی توزیع شده باشد.
بدافزار xHelper پس از نصب، درِ پشتی در دستگاه آلوده اجرا میکند. سپس، درِ پشتی اپلیکیشنهایی را از سرور تحتکنترل هکرها روی دستگاه نصب میکند. بهعلاوه، درِ - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - پشتی توانایی اجرای دستورهایی با دسترسی کاربر سطح بالا (Superuser) را - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - نیز دارد. دسترسی اینچنینی، قابلیتهای نامحدودی در سطح سیستمی دراختیار بدافزار قرار میدهد. بهعلاوه، درِ پشتی به اطلاعات حساس کاربر نیز دسترسی پیدا میکند که از میان آنها میتوان به کوکیهای مرورگر اشاره کرد که برای ورود خودکار به حسابهای کاربری در وبسایتها استفاده میشوند. پس از نصب درِ پشتی، اپلیکیشن مخرب و ظاهرساز آن از صفحهی اصلی گوشی و منو - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - برنامهها حذف میشود و تنها در تنظیمات سیستم میتوان آن را دید.
پست اطلاعرسانی فوریه را نیتان کالیر، محقق شرکت Malwarebytes، نوشته بود. او تحقیقات خود را پس از گزارش کاربر قربانی انجام داد که بدافزار xHelper پس از دوبار پاکشدن بهوسیلهی آنتیویروس، بازهم در دستگاه اندرویدی او اجرا میشد و حتی پس از بازیابی کارخانهای دستگاه، بازهم بدافزار شروع به کار میکرد.
کالیر در نتایج تحقیق خود متوجه شد نصب و اجرای مجدد بدافزار بهدلیل وجود فایل نصبی بوده است که در پوشهای مخفی در دستگاه قرار - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - دارد. پوشهی مذکور با روشهای مرسوم پاکشدنی نبود و نحوهی ورود - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - و کپیشدن پوشه در - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - دستگاه آلوده نیز مشخص نمیشد. کالیر ابتدا تصور کرد پوشه بهصورت پیشفرض و از ابتدا در گوشی وجود داشته است؛ البته این فرضیهی او بازهم چرایی ناتوانی آنتیویروس در پاککردن آن را مشخص نمیکرد. بهعلاوه، او نمیدانست چرا پس از پاکشدن احتمالی فایل مخرب یا بازیابی کارخانهای دستگاه، بازهم بدافزار نصب میشود.
ایگور - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - گالوین، محقق آزمایشگاه امنیتی کسپرسکی، هفتهی گذشته مقالهای منتشر کرد که به بسیاری از پرسشها دربارهی بدافزار جانسخت پاسخ داد. او میگوید آلودگی مجدد دستگاهها بهدلیل دانلود و نصب مجدد فایلها بهوسیلهی تروجان مشهوری بهنام Triada بوده است. این تروجان پس از نصب بدافزار xHelper روی دستگاه قربانی اجرا میشود. Triada ابتدا دستگاه را روت و سپس با بهرهگیری از دسترسیهای سیستمی سطح بالا، تعدادی فایل مخرب در پارتیشن سیستمی نصب - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - میکند. این روند با تغییر حالت پارتیشن سیستمی به نوشتن انجام میشود. Triada برای مقاومترکردن فایلهای مخرب، «صفت تغییرناپذیر» در مشخصات آنها اضافه میکند که مانع از پاکشدنشان حتی بهدست کاربر با دسترسی - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - سطح بالا میشود. البته میتوان این صفت را با دستور chattr پاک کرد.
فایلی بهنام install-recovery.sh فایلهای موجود در پوشهی /system/xbin را فراخوانی میکند. این اقدام به بدافزار امکان میدهدبا هر بار بارگذاری مجدد دستگاه اجرا شود؛ درنتیجه بهگفتهی گالوین، با آلودگی «جانسخت» روبهرو میشویم که کنترل فوقالعادهای روی سیستم قربانی دارد.
گالوین در مصاحبهای با توضیح عملکرد بدافزار میگوید:
خدمات خوب برای شماره تعمیرکار ساید بای ساید ایندزیت ارزان میخواهی؟ پس کلیک کن.
آلودهشدن به xHelper آنچنان دشوار نیست. دستگاههایی که با حملهی این بدافزار مواجه میشوند، احتمالا به حفاظهای امنیتی سیستمی مجهز نیستند و دربرابر نصب این نوع بدافزارها آسیبپذیر هستند. بهعلاوه پس از نصب بدافزار، پاککردن آن برای کاربر بسیار دشوار میشود؛ درنتیجه، تعداد کاربران آلوده به xHelper احتمالا با سرعت زیادی - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - افزایش پیدا میکند و بدافزار تا مدتی طولانی در دستگاههای قربانی باقی میماند.
محقق امنیتی کسپرسکی ابتدا احتمال داد شاید با تنظیم مجدد پارتیشن - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - سیستمی به حالت نوشتن، بتوان بدافزار را پاک کرد. البته او کمی بعد نظریهی خود را پس گرفت. گالوین دربارهی این نظریه میگوید:
شماره تعمیرکار ساید بای ساید ایندزیت ارزان. جهت مشاهده قیمت و سفارش کلیک کنید
توسعهدهندگان Triada این راهکار - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - را - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - نیز مسدود - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - کردهاند. آنها روش محافظتی دیگری برای فایل خود اجرا کردهاند که با تغییر کتابخانهی سیستمی /system/lib/libc.so ممکن شده است. این کتابخانه شامل کدهای مرسومی میشود که تقریبا تمامی فایلهای اجرایی موجود در دستگاه از آنها استفاده میکنند. Triada کدهای اختصاصی خود را برای عملکرد mount - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - در حافظهی سیستمی جایگزین کدهای پیشفرض میکند؛ درنتیجه، کاربر نمیتواند مجددا پارتیشن سیستمی را به حالت نوشتن تغییر دهد.
خوشبختانه روش آلودهسازی مجدد که در مقالهی اخیر کشف شد، تنها روی دستگاههای اندرویدی مجهز به نسخههای قدیمی سیستمعامل اجرا میشود که آسیبپذیریهای سطح روت دارند. - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - بههرحال، گالوین هنوز احتمال میدهد در برخی موارد، شاید xHelper ازطریق فایلهای مخرب نصبشده بهصورت پیشفرض در گوشی هوشمند یا تبلت، حضور خود را حفظ میکند.
کاربران قربانی میتوانند با استفاده از حالت Recovery گوشی هوشمند (درصورت وجود)، فایل مخرب libc.so را با فایل اصلی و پیشفرض موجود در فرمور اصلی تعویض کنند. آنها سپس - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - میتوانند فایلهای بدافزار را از پارتیشن سیستمی پاک یا برای اطمینان نهایی دستگاه را فلش کنند.
تحقیقات گالوین جزئیات بسیاری از روش هوشمندانهی آلودهسازی دستگاه را - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - شرح میدهد که شاید در حملههای مشابهی در آینده استفاده شود. درواقع، اگر آسیبپذیریهای سطح روت جدید در نسخههای - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - جدید اندروید پیدا شوند، شاید شاهد پیادهسازی حملههای امنیتی مشابه در نسخههای جدید هم باشیم.
- تلفن نمایندگی یخچال بالا پایین جی تگ ارزان - تعمیر یخچال بالا پایین وستینگهاوس جنت آباد - خدمات پس از فروش یخچال فریزر آدمیرال ارزان - نمایندگی رسمی یخچال فریزر وایت هاوس المپیک - تلفن تعمیرگاه مجاز یخچال فریزر جی تگ ارزان - نمایندگی رسمی ساید بای ساید ایندزیت انقلاب - تلفن تعمیرگاه مجاز یخچال ساید مای تگ ارزان - شماره تعمیرکار یخچال بالا پایین کرال ارزان - خدمات پس از فروش یخچال فریزر اسنوا سهروردی - نمایندگی رسمی یخچال ساید فریجیدر غرب تهران - تعمیرگاه مجاز یخچال بالا پایین آ ا گ ارزان - خدمات یخچال بالا پایین جنرال الکتریک آزادی - خدمات پس از فروش یخچال دوقلو فریجیدر ارزان - شماره تعمیرکار یخچال بالا پایین بوش اقدسیه - تلفن نمایندگی یخچال ساید وایت هاوس شهرزیبا - شماره تعمیرکار ساید بای ساید ویرپول در محل - شماره تعمیرکار ساید بای ساید مای تگ در محل - نمایندگی رسمی یخچال بالا پایین آ ا گ ارزان - تلفن نمایندگی ساید بای ساید بلومبرگ در محل - تعمیرگاه مجاز ساید بای ساید آرچلیک شهرزیبا - شماره تعمیرکار ساید بای ساید ایندزیت ارزان - تلفن تعمیرگاه مجاز یخچال فریزر کنوود ارزان - تلفن نمایندگی یخچال ساید ایندزیت غرب تهران - خدمات پس از فروش یخچال دوقلو ایندزیت ارزان - تعمیرگاه مجاز یخچال فریزر سامسونگ جنت آباد - خدمات پس از فروش یخچال ساید بلومبرگ در محل - سرویسکار یخچال بالا پایین وستینگهاوس ارزان - تلفن تعمیرگاه مجاز یخچال پروفایل غرب تهران - تلفن تعمیرگاه مجاز یخچال دوقلو ارزان آزادی - خدمات پس از فروش یخچال دوقلو بلومبرگ ارزان - شماره تعمیرکار یخچال بالا پایین قدیمی هروی - تلفن تعمیرگاه مجاز یخچال دوقلو کنمور ارزان - تلفن تعمیرگاه مجاز یخچال فریزر دوو شهرزیبا - تلفن تعمیرگاه مجاز یخچال ساید کنمور انقلاب - تلفن نمایندگی یخچال فریزر ویرپول غرب تهران - تعمیرگاه مجاز یخچال بالا پایین آرچلیک هروی - تلفن نمایندگی یخچال بالا پایین آ ا گ ارزان - تعمیرگاه مجاز یخچال ساید کرال سیمون بولیوار - شماره تعمیرکار ساید بای ساید مابه چهاردانگه - تعمیرگاه مجاز یخچال بالا پایین بوش نسیم شهر - تعمیرگاه مجاز یخچال دوقلو پروفایل چهاردانگه - 
