بدافزار Android، تهدیدی جدید برای شبکه سازمانی

یک بدافزار فعال در محیط های Android که از آن برای توسعه یک شبکه مخرب قدیمی استفاده می شود، اخیراً به روز شده تا امکانات بیشتر و توان مقاومت افزون تری داشته باشد.

شبکه مخرب (botnet) مورد بحث، سالهاست که فعال می باشد و تا بحال اکثراً برای ارسال پیام های هرز (spam) و خرید غیرقانونی بلیط مراسم و مسابقات، مورد استفاده قرار می گرفت. ولی اکنون بدافزار جهش یافته این امکان را فراهم می کند که از کامپیوترهای داخل شبکه مخرب به عنوان پراکسی (proxy) استفاده شود و بتوان حملات هماهنگ علیه شبکه های سازمانی انجام داد.

این بدافزار که به آن نام NotCompatible داده شده است، اولین بار در سال 2012 میلادی مشاهده و کشف شد. این اولین بدافزار Android بود که امکان انتشار و آلوده سازی از طریق سایت های اینترنتی دستکاری شده را داشت.

دستگاه های Android که به این سایت های دستکاری شده مراجعه می کردند، بطور خودکار اقدام به دریافت یک فایل مخرب با قالب apk یا Android Application Package می نمودند. سپس کاربر که پیام “پایان دریافت فایل” را می دید، بدون توجه و دقت، اغلب دستور نصب فایل را تائید می کرد. بدین تریتب، بدافزار نصب و فعال می شد.

اکنون در نسخه جدید بدافزار NotCompatible گرچه روش انتشار تقریباً ثابت و بدون تغییر مانده است، ولی عملکرد بدافزار و مرکز کنترل و فرماندهی آن دستخوش تغییرات زیادی شده اند.

گونه جدیدی از بدافزار (NotCompatible.C) که اخیراً شناسایی شده است، ارتباط بین بدافزار و مرکز فرماندهی را بصورت رمزگذاری شده انجام می دهد. بدین ترتیب، ترافیک بدافزار قابل تفکیک از ترافیک سالم و عادی SSL ،SSH و یا VPN نیست. همچین بدافزار می تواند با دستگاه های آلوده دیگر ارتباط مستقیم برقرار کند و یک شبکه peer-to-peer ایجاد نماید. در مواقعی که مرکز فرماندهی در دسترس نباشد، این شبکه می تواند جایگزین بسیار مناسبی برای انتقال دستورات و فرامین جدید در داخل شبکه مخرب باشد.

همچین گردانندگان شبکه مخرب و بدافزار NotCompatible از روش های Load-Balancing و Geolocation استفاده می کنند تا دستگاه های آلوده به نزدیک ترین و مناسب ترین سرور فرماندهی متصل شوند. این شبکه مخرب دارای بیش از 10 سرور مستقل فرماندهی در کشورهای مختلف، از جمله سوئد، لهستان، هلند و انگلیس می باشد.

ابداعات و قابلیت های افزوده شده به این بدافزار که تنها در محیط Android فعال است، تاکنون اغلب در بدافزارهای رایج در محیط Windows مشاهده می شد. گرچه هنوز گزارشی از استفاده از قابلیت پراکسی بدافزار NotCompatible.C دریافت نشده است، ولی از هم اکنون می توان آنرا تهدید جدیدی علیه شبکه های سازمانی دانست.

در صورت ورود یک دستگاه Android آلوده به داخل شبکه سازمانی، آن دستگاه می تواند امکان دسترسی غیرمجاز به شبکه را برای گردانندگان شبکه مخرب فراهم آورد.  با استفاده از قابلیت پراکسی می توان تقریبا هر کاری در شبکه سازمانی انجام داد. از آلوده کردن دستگاه های بیشتر به بدافزار NotCompatible تا سوء استفاده از نقاط ضعف مختلف در ساختار شبکه و دسترسی به اطلاعات سازمانی ذخیره شده در شبکه.