info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

اندروید مورد هجوم! اطلاعات بیش از یک میلیون حساب کاربری دزدیده شد!

خلاصه: دو حمله مستقل برای سیستم عامل اندروید، امنیت کاربرانی که از این سیستم عامل استفاده می‌کنند به خطر انداخته است. یک حمله دسترسی root به سیستم عامل پیدا کرده و اطلاعات حساب کاربری گوگل را به سرقت می‌برد. حمله دیگر اطلاعات کاربر را سرقت کرده و از طرف کاربر پیام ارسال می‌کند.

در هفته‌های گذشته کشف شد که سیستم عامل اندروید در دو حمله مجزای بسیار خطرناک مورد هجوم قرار گرفته است. کنترل دستگاه‌هایی که قربانی این حملات شده‌اند به دست هکر می‌افتد.

متخصصان شرکت Check Point برای اولین بار از وجود این بدافزار مطلع شده‌اند. این بدافزار Goolian نام دارد که امنیت بیش از یک میلیون کاربر را به مخاطره انداخته است. این تعداد در حال افزایش بوده و روزانه ۱۳۰۰۰ کاربر جدید به قربانیان این بدافزار افزوده می‌شوند. این بدافزار دستگاه‌هایی که از نسخه ۴ و ۵ اندروید (آبنبات ژله‌ای، کیت‌کت و لالی‌پاپ) را مورد هجوم قرار می‌دهد. لازم است یادآوری شود که بیش از ۷۴ درصد دستگاه‌ها از این سه نسخه از سیستم عامل اندروید استفاده می‌کنند. زمانی که این بدافزار روی سیستم شما نصب شود اطلاعات ایمیل شما و توکن‌های احراز هویت را به سرقت برده و به سرویس‌های مختلف گوگل شما مانند جیمیل، گوگل درایو، گوگل پلی و همه سرویس‌های دیگر گوگل دسترسی خواهد داشت.

این هک بزرگترین هک علیه حساب‌های کاربری گوگل تاکنون بوده است. تاکنون این حجم و وسعت حمله و دزدیده شدن حساب‌های کاربری چه در موبایل و چه در حالت‌های دیگر علیه حساب‌های کاربری گوگل انجام نشده بود.

قربانیان این بدافزار بیشتر آسیایی‌ها بوده‌اند. ۵۷ درصد قربانیان آسیایی، ۱۹درصد از امریکا، ۱۵ درصد از افریقا و ۹ درصد از اروپا به این بدافزار آلوده شده‌اند.

طبق بررسی‌های این تیم بسیاری از برنامه‌هایی که روی فروشگاه‌هایی غیر از گوگل‌پلی قرار دارند آلوده به این بدافزار هستند. این بازار‌ها همانند گوگل پلی برنامه کاربردی عرضه می‌کنند اما امنیت آن‌ها تایید شده نیست. برنامه‌های آلوده به Goolian ممکن است از روش‌های دیگر مانند فیشینگ یا ایمیل در اختیار قربانی قرار بگیرد. 

هنگامی که کاربر برنامه‌ای که آلوده به این بدافزار است را نصب می‌کند بدافزار اطلاعات کاربر را سرقت کرده و به سرور کنترل و فرماندهی خود ارسال می‌کند. سپس سرور کنترل و فرماندهی کد مخربی به دستگاه ارسال می‌کند که دستگاه‌هایی که از اندروید ۴ و ۵ استفاده می‌کنند نسبت به آن آسیب‌پذیر هستند. دلیل اینکه این آسیب‌پذیری‌ها هنوز روی این دستگاه‌ها قرار دارند این است که وصله‌های امنیتی برای دستگاه‌ها توسط کاربران نصب نشده یا بروزرسانی انجام نشده است. اگر کد مخرب به درستی عمل کند بدافزار به دسترسی root دست پیدا کرده و می‌تواند هر کدی را از راه دور روی دستگاه اجرا کند. 

برای اینکه مطلع شوید که شما هم جزو قربانیان این بدافزار بوده‌اید تیم Check Point یک وب‌سایت درست کرده که شما با وارد کردن ایمیل خود می‌توانید از این‌که قربانی این بدافزار بوده‌اید مطلع شوید. آدرس این وب‌سایت https://gooligan.checkpoint.com/‎ است.

اگر شما هم جزو قربانیان این بدافزار بودید باید ابتدا باید یک نسخه سالم از سیستم عامل روی دستگاه خود نصب کنید. به این کار به اصطلاح فلش کردن گوشی تلفن همراه می‌گویند. توصیه می‌شود این کار را به عهده یک تکنسین و متخصص این کار بسپارید. پس از اینکه یک سیستم عامل جدید روی دستگاه خود نصب کردید به سرعت کلمه عبور حساب‌های کاربری خود را تغییر دهید. 

حمله دومی که علیه اندروید انجام شده توسط تیم Palo Alto Networks کشف شده است. این کد مخرب با استفاده از تکنولوژی پلاگین که در گوشی‌های اندرویدی وجود دارد اقدام به آلوده کردن سیستم قربانی می‌کند. در واقع بدافزار خود را به جای پلاگین برای برنامه‌هایی که نیاز به پلاگین ندارند جا می‌زند. با این کار بدافزار اقدام به سرقت اطلاعات و فایل‌های کاربران می‌کند.  همچنین توانایی ارسال پیام از سمت کاربر، ضبط صدا، گرفتن عکس و عمل به عنوان key logger را دارد. در مورد این بدافزار اطلاعات دقیقی در مورد تعداد دستگاه‌های آلوده شده و محل پخش شدن این آلودگی وجود ندارد. اما کارشناسا ن معتقدند که نویسندگان این بد‌افزار در حال تقویت آن هستند.  متخصصان و کارشناسان در حال بررسی این بدافزار به منظور پی بردن به اطلاعات دقیق‌تر در مورد آن هستند.