محققان امنیتی ادعا میکنند که خانوادهی جدیدی از باجافزارهای اندرویدی با استفاده از پیامک بین کاربران توزیع میشوند. متخصصان امنیت سایبری ESET در جدیدترین گزارش خود، نتایج بررسی - تعمیرات مایکروویو میجر Major دریان نو - یک بدافزار اندرویدی بهنام Android/Filecoder.C را منتشر کردند. انتشار اخبار جدید به نوعی یک نشانه برای پایان دو سال روند نزولی تشخیص بدافزارهای - تعمیرات مایکروویو میجر Major دریان نو - اندرویدی محسوب میشود.
بدافزار فایلکدر حداقل از ۱۲ جولای ۲۰۱۹ فعال بوده است و از طریق پستهای آلوده در انجمنهای آنلاین توزیع میشود. از میان انجمنها میتوان به ردیت و فروم - تعمیرات مایکروویو میجر Major دریان نو - مشهور توسعهی اندروید یعنی XDA Developers اشاره کرد. حجم عمدهای از پستهای آلوده که کاربران را به دریافت بدافزار مذکور دعوت میکنند، موضوعاتی با محوریت هرزنگاری - تعمیرات مایکروویو میجر Major دریان نو - دارند. بهعلاوه، تحقیقات ESET میگوید که در اکثر آنها از ابزار bit.ly - تعمیرات مایکروویو میجر Major دریان نو - برای تغییر آدرس بدافزار استفاده - تعمیرات مایکروویو میجر Major دریان نو - میشود.
به محض اینکه فایلکدر در دستگاه اندرویدی قربانی نصب شود، به فهرست مخاطبان او دسترسی پیدا میکند. سپس پیامهای متنی بهصورت پیامک به کل فهرست ارسال میشود. - تعمیرات مایکروویو میجر Major دریان نو - لینک مخرب بهصورت تبلیغی برای یک اپلیکیشن کاربردی ارسال میشود درحالیکه به اپلیکیشنی مرتبط با بدافزار فایلکدر متصل خواهد بود. پیامک مخرب بسته به زبان دستگاه قربانی ارسال میشود و توانایی ارسال پیام به ۴۲ زبان را - تعمیرات مایکروویو میجر Major دریان نو - دارد. بهعلاوه نام مخاطب نیز در متن پیام درج میشود.
اگر قربانی روی لینک موجود در پیامک کلیک کند، بدافزار بهصورت دستی نصب شده که عموما - تعمیرات مایکروویو میجر Major دریان نو - باز هم از محتوای هرزنگاری برای تبلیغ - تعمیرات مایکروویو میجر Major دریان نو - آن استفاده میشود. به هر حال هدف نهایی از اپلیکیشن مخرب مذکور، اجرای آن در پسزمینه خواهد بود. اپلیکیشن شامل تنظیمات command-and-control یا C2 است که آدرس کیفهای پول بیت کوین نیز درون آن قرار دارد. بهعلاوه ابزاری بهنام Patebin در داخل کدهای بدافزار دیده میشود که - تعمیرات مایکروویو میجر Major دریان نو - برای اجرای فرایند Dynamic Retrieval کاربرد دارد.
فایلکدر پس از آنکه پیامهای تبلیغاتی را برای فهرست مخاطبان ارسال کرد، بهدنبال حافظهی دستگاه میگردد و بخش اعظم آن را رمزنگاری میکند. از میان فایلهایی که توسط بدافزار رمزنگاری میشوند میتوان به فایلهای متنی و تصویر اشاره کرد. باجافزار مذکور توانایی دستکاری در فایلهای اختصاصی اندروید همچون apk و dex را ندارد. - تعمیرات مایکروویو میجر Major دریان نو - محققان ESET اعتقاد دارند فرایند رمزنگاری بهنوعی یک روند کپی و الصاق از WannaCry است. جهت یادآوری باید بدانید که واناکرای یکی بدافزارهای بسیار حرفهای و مخرب است.
پس از رمزنگاری فایلهای قربانی، پیامی مبنی بر درخواست وجه به او نمایش داده میشود. پیامی که باج به ارزش ۹۸ تا ۱۸۸ دلار را در فرم رمزارز درخواست میکند. در حال - تعمیرات مایکروویو میجر Major دریان نو - حاضر هیچ گزارشی از پاک شدن فایلها پس از دورهی تهدیدی وجود ندارد. بهعلاوه باجافزار فعالیتی بهصورت قفل - تعمیرات مایکروویو میجر Major دریان نو - کردن دستگاه یا متوقف کردن فعالیت آن انجام نمیدهد. البته اگر کاربر اپلیکیشن را حذف کند، فایلها رمزگشایی نمیشوند. البته عدم رمزگشایی آنها ربطی به تهدید مجرمان سایبری ندارد و دلیل اصلی آن، - تعمیرات مایکروویو میجر Major دریان نو - رمزنگاری ناقص است. بههرحال باز هم کاربر میتواند بدون پرداخت - تعمیرات مایکروویو میجر Major دریان نو - هزینهی زیاد، فایلهای خود را بازیابی کند.
فایلکدر در - تعمیرات مایکروویو میجر Major دریان نو - زمان رمزنگاری فایلهای کاربر، یک کلید - تعمیرات مایکروویو میجر Major دریان نو - عمومی و یک کلید خصوصی ایجاد میکند. کلید خصوصی با استفاده از الگوریتم RSA رمزنگاری شده و برای مجرم سایبری (یا همان اپراتور C2) ارسال میشود. درنتیجه اگر قربانی هزینهی درخواستی را پرداخت کند، هکر قابلیت رمزگشایی - تعمیرات مایکروویو میجر Major دریان نو - فایلها را خواهد داشت.
متخصصان امنیت سایبری میگویند بدون پرداخت هزینه هم میتوان فرایند رمزگشایی را با استفاده از کلید خصوصی انجام داد. آنها ادعا - تعمیرات مایکروویو میجر Major دریان نو - میکنند که میتوان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه ارائه میشود. به بیان دیگر متخصصان ESET علاوه بر تشخیص بدافزار جدید، راهکار عملی را هم برای آن ارائه کردهاند.
متخصصان ESET در متنی که مرتبط با بدافزار بالا منتشر کردند، دربارهی اثرگذاری آن نوشتند:
خدمات خوب برای تعمیرات مایکروویو میجر Major دریان نو میخواهی؟ پس کلیک کن.
با توجه به هدفگیری محدود و ایراد در اجرا و همچنین پیادهسازی رمزنگاری، اثر این باجافزار محدود است. بههرحال اگر توسعهدهندههای آن ایرادات را برطرف کنند و جامعهی هدف هم گستردهتر شود، احتمالا باجافزار Android/Filecoder.C به تهدیدی بزرگتر بدل خواهد شد.
با توجه به توضیحاتی که پیرامون روش اجرا و توزیع بدافزار اندرویدی مطرح شد، باز هم اهمیت آگاهی کاربر برای جلوگیری از آلودگی مشخص میشود. اگر قربانیان پیامکهای مخرب یا کاربران انجمنهای آنلاین، در باز کردن لینکهای تبلیغاتی و همچنین نرمافزارهای متفرقه احتیاط لازم را داشته - تعمیرات مایکروویو میجر Major دریان نو - باشند، قطعا اجرای فرایند باجگیری سایبری حتی شروع هم نخواهد شد.