info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

دسترسی به دستگاه اندرویدی از راه دور

خلاصه: محققان امنیتی گزارشی در مورد آسیب‌پذیری فعال CVE-2019-2215  در سه برنامه فروشگاه گوگل‌پلی ارائه دادند. این آسیب‌پذیری که به هکرها اجازه دسترسی روت به سیستم‌های اندروید می‌دهد در چند برنامه مورد بهره‌برداری قرار گرفته است.

 

مراقب باشید! اگر هر کدام از برنامه‌های عکاسی و مدیریت فایل که در این خبر ذکر شده را در دستگاه اندرویدی خود نصب کرده‌اید حتی اگر از فروشگاه رسمی گوگل دانلود کرده باشید، شما هک و ردیابی شده‌اید.

برنامه‌های مخرب اندرویدی تازه کشف شده عبارتند از Camero، FileCrypt و CallCam که گفته می‌شود با Sidewinder APT که یک گروه هکری پیشرفته و متخصص در حملات جاسوسی سایبری هستند در ارتباط است.

بر طبق گفته محققان امنیت سایبری شرکت ترند میکرو، این برنامه‌ها از ماه مارس سال گذشته آسیب‌پذیر بوده‌اند. یعنی ۷ ماه قبل از اینکه این آسیب‌پذیری به عنوان روز صفر کشف شده باشد.

یکی از محققان گفته است که حدس می‌زنیم که این برنامه‌ها  از مارس ۲۰۱۹ براساس اطلاعات گواهینامه یکی از برنامه‌ها فعال بوده باشند. به نظر می‌رسد این آسیب‌پذیری‌ها توسط گروه هکری اسراییلی NSO نیز مورد سو‌استفاده قرار گرفته باشند.

این آسیب‌پذیری که با شناسه CVE-2019-2215 شناخته می‌شود یک مشکل تغییر سطح دسترسی است که باعث سو‌استفاده از نرم‌افزار می‌شود و اجازه دسترسی روت به دستگاه را می‌دهد. این آسیب‌پذیری می‌تواند از راه دور هم مورد بهره‌برداری قرار گیرد.

بر اساس صحبت‌های کارشناسان ترند‌میکرو برنامه‌هاFileCrypt Manager و Camero به صورت یک دراپر عمل می‌کنند و به یک سرور کنترل و فرمان متصل شده تا فایل DEX را دانلود نمایند و پس از دانلود برنامه CallCam توسط آسیب پذیری موجود سعی در نصب آن برنامه می‌نماید و از امکانات آن سو‌استفاده می‌کنند.

همه این‌ها بدون آگاهی کاربر یا مداخله او انجام می‌شود. به گفته محققان برای جلوگیری از شناسایی، از تکنیک‌های زیادی مثل رمزگذاری داده‌ها و استفاده از کد پویا و غیره استفاده می‌شود.

پس از نصب، callcam آیکون خود را از منو پنهان می‌کند و اطلاعات زیر را از دستگاه جمع آوری کرده و آن‌ها را به سرور کنترل و فرمان مهاجم در پس‌زمینه ارسال می‌کند.

  • موقعیت مکانی
  • وضعیت باتری
  • فایل‌های دستگاه
  • لیست برنامه‌های نصب شده
  • اطلاعات دستگاه
  • اطلاعات سنسور
  • اطلاعات دوربین
  • اسکرین‌شات
  • حساب کاربری
  • اطلاعات وای‌فای
  • اطلاعات برنامه‌های Wechat، outlook، Twitter،Yahoo Mail، Facebook، Gmail و Chrome

علاوه بر سو‌استفاده از آسیب‌پذیری CVE-2019-2215، برنامه‌های مخرب از یک آسیب پذیری جداگانه در درایور MediaTek-SU سو‌استفاده می‌کنند تا از دسترسی روت برخوردار شده و در طیف گسترده‌ای از دستگاه‌های اندروید ماندگار باشند.

چگونه از تلفن های همراه اندروید در برابر بدافزار محافظت کنیم؟

هم اکنون گوگل همه برنامه‌های مخرب ذکر شده را از پلی‌استور حذف کرده است، اما از آن‌جایی که این برنامه‌ها فقط در گوگل‌پلی منتشر نمی‌شوند، باید در بارگیری برنامه‌ها خیلی مراقب باشید.

برای بررسی اینکه آیا دستگاه شما به این بدافزار آلوده شده، در قسمت  تنظیمات گوشی اندروید، قسمت مدیریت برنامه‌ها را باز کنید به دنبال اسم بسته‌های فهرست شده بگردید در صورت وجود آن‌ها را حذف کنید.

همچنین برای محافظت از دستگاه خود در برابر تهدیدهای سایبری، انجام اقدامات ساده اما موثر زیر توصیه می‌شود.

  • دستگاه و برنامه‌ها را به‌روز‌رسانی کنید.
  • از بارگیری برنامه‌ها از منابع نامعتبر خودداری کنید.
  • همیشه به مجوزهای درخواست شده توسط برنامه‌ها توجه جدی داشته باشید.
  • به طور مرتب از داده‌ها نسخه پشتیبان تهیه کنید و یک آنتی‌ویروس خوب نصب کنید که در برابر این بدافزار و تهدیدات مشابه از سیستم شما محافظت کند.

برای جلوگیری از آلوده شدن به این گونه برنامه‌ها همیشه مراقب برنامه‌های مشکوک باشید، حتی هنگام بارگیری از  فروشگاه گوگل‌پلی سعی کنید فقط از برندهای معتبر استفاده کنید.

علاوه بر این، همیشه به نظرات کاربرانی که از آن برنامه استفاده کردند، توجه کنید و همچنین مجوزهای برنامه را قبل از نصب هر برنامه بررسی و فقط به آن مجوزهایی را بدهید که به هدف برنامه مرتبط هستند.

    

مطالب مرتبط