بدافزار Windows که دستگاه های Android را آلوده می کند

بدافزار جدیدی شناسایی شده که دستگاه های Android را زمانی که به کامپیوتر آلوده Windows متصل می شوند، آلوده به جاسوس افزارهای بانکداری می کند.

این روش آلوده سازی دستگاه های دارای سیستم عامل Android غیرمعمول و جدید است. تاکنون رایج ترین راه برای آلوده کردن دستگاه های همراه (Mobile) که با سیستم عامل Android کار می کنند، انتشار برنامه های کاربردی (APP) مخرب و آلوده از طریق سایت های فروش و عرضه APP بوده است.

تا امروز همیشه سیستم های Android بوده که سعی در آلوده کردن سیستم های Windows را داشتند. بدافزاری نظیر Android.claco، یک برنامه اجرایی (PE) را به همراه فایل autorun.inf از یک سرور خاص دریافت کرده و در شاخه اصلی (root) کارت های حافظه (SD) قرار می دهد. به محض وصل شدن این کارت حافظه به کامپیوتر Windows، در صورت فعال بودن گزینه Autorun بر روی کامپیوتر، فایل اجرایی مخرب بطور خودکار بر روی کامپیوتر Windows اجرا شده و آن را آلوده می کند.

حالا بدافزاری شناسایی شده که بطور معکوس عمل می کند و سعی دارد از طریق کامپیوتر Windows دستگاه های همراه Android را آلوده کند.

این بدافزار جدید که از سوی شرکت Symantec نام Trojan.Droidpak به آن داده شده، یک فایل DLL را بر روی کامپیوتر Windows نصب و فعال می کند. همچنین Registry را به نحوی تغییر می دهد که در هر بار راه اندازی کامپیوتر، بعنوان یک سرویس جدید فعال شود. سپس یک فایل تنظیمات را از یک سرور راه دور دریافت می کند. این فایل حاوی مسیر و محل دریافت یک فایل از نوع APK یا Android Application Package است. نام این فایل AV-cdk.apk می باشد.

بدافزار Droidpak اقدام به دریافت فایل مخرب APK به همراه ابزار نرم افزاری ADB یا Android Debug Bridge می کند. ابزار ADB امکان اجرای دستورات خط فرمان (Command Line) را بر روی دستگاه Android که به کامپیوتر Windows وصل هستند، فراهم می کند.

سپس فرمان adb.exe install AV-cdk.apk توسط بدافزار به دفعات اجرا می شود تا در صورت متصل بودن هر نوع دستگاه Android برنامه APK مخرب بر روی آن نصب گردد.

البته برای نصب برنامه مخرب APK توسط ابزار ADB، گزینه USB debugging باید بر روی دستگاه Android فعال باشد. این گزینه اغلب توسط برنامه نویسان Android مورد استفاده قرار می گیرد ولی در انجام برخی عملیات مربوط به کاربران عادی هم فعال بودن آن ضروری است. در این مواقع، اغلب کاربران فراموش می کنند که پس از استفاده، گزینه USB debugging را خاموش کنند و همچنان بر روی دستگاه فعال باقی می ماند.

برنامه APK مخرب که توسط بدافزار تحت Windows بر روی دستگاه های Android توزیع و نصب می شود، با نام Android.Fakebank.B شناسایی می شود. این برنامه مخرب خود را در ظاهر بصورت برنامه Google Play نشان می دهد. پس از نصب بر روی دستگاه Android، از نام Google App Store و از نشان Google Play استفاده می کند تا کاربر را فریب داده و گمراه کند.

این گونه از بدافزار Droidpak سامانه های بانکداری الکترونیکی در کشور کره جنوبی را هدف قرار داده و در صورت شناسایی برنامه (APP) این سامانه ها، اقدام به حذف آنها نموده و با فریب کاربر از او می خواهد که از طریق Google App Store جعلی، نسخه جدید App را که در واقعیت نسخه های دستکاری شده هستند، دریافت و نصب کند. 

این بدافزار همچنین قادر است پیامک (SMS)های دریافتی را جمع آوری کرده و به یک نشانی خاص ارسال کند. در بسیاری از عملیات بانکداری امروزی، کدهای تائید از سوی بانک از طریق پیامک به کاربر ارسال می گردد.

با فریب کاربر به استفاده از سامانه بانکداری جعلی و قابلیت دریافت و شنود پیامک، شرایط مناسبی را برای سرقت های مالی فراهم می آورد.

پیش بینی می شود که از این گونه اولیه از بدافزار Droidpak استفاده شده و گونه های مختلفی برای سامانه های بانکداری گوناگون در کشورهای دیگر، تهیه و مورد استفاده خلافکاران سایبری قرار گیرد.