به گزارش شرکت مهندسی شبکه گستر، محققان شرکت Comodo از انتشار گسترده نسخه دوم بدافزار پیشرفته Tordow که دستگاههای با سیستم عامل Android را هدف میدهد خبر دادهاند.
ویژگی اصلی این بدافزار، توانایی آن در روت کردن (Rooting) دستگاههای مبتنی بر سیستم عامل Android است. کاری که حداقل در تئوری، بدافزار را قادر به اجرای هر فرمان مخربی میکند. این نسخه Tordow، شامل 9 روش مختلف، برای اطمینان از فراهم شدن حق دسترسی Root است.
بر طبق توضیحات محققان Comodo، نسخه دوم بدافزار Tordow قادر به اجرای خرابکاریهای زیر بر روی دستگاههای Android است:
- برقراری تماسهای تلفنی
- مدیریت پیامک (SMS)
- دانلود و نصب برنامک
- دسترسی به دفترچه تلفن دستگاه
- رمزنگاری فایلها
- دسترسی از راه دور به نشانی URL
- سرقت اطلاعات اصالتسنجی برنامکها
- سرقت دادهها از مرورگر Chrome
- جاسوسی از برنامکهای بانکی
- راهاندازی مجدد دستگاه
- دسترسی و تغییر نام فایلها
- جمعآوری مشخصات دستگاه
- جمعآوری اطلاعات مربوط به موقعیت جغرافیایی دادهها
به گفته این محققان، گردانندگان Tordow، در اکثر مواقع، از این بدافزار برای سرقت اطلاعات اصالتسنجی مشتریان بانکهای روسی استفاده میکنند.
همچنین قابلیت رمزنگاری نسخه جدید، فایلها را با الگوریتم AES رمزگذاری میکند. عملیات رمزگذاری با کلید MIIxxxxCgAwIB که در کد بدافزار درج شده انجام میشود. با توجه به کلید متقارن بودن الگوریتم AES، با اطلاع از این کلید، امکان رمزگشایی فایلها ممکن میشود و بنابراین نمی توان آن را یک باجافزار (Ransomware) پیشرفته دانست.
گردانندگان Tordow، با تزریق کد این بدافزار در برنامکهای معروفی نظیر Telegram و Pokemon و با اشتراکگذاری آنها در بازارهای توزیع دیجیتال (Store) غیررسمی، کاربران را هدف قرار دادهاند.
نسخه اول این بدافزار، نخستین بار در ماه سپتامبر شناسایی شد. اما بررسیهای بعدی نشان داد که این بدافزار از حدود یک سال قبل فعال بوده است.
برای ایمن ماندن از گزند این نوع بدافزارها، رعایت موارد زیر توصیه میشود:
- سیستم عامل و برنامکهای نصب شده بر روی دستگاه همراه خود را همیشه به آخرین نسخه ارتقاء دهید.
- برنامکها را فقط از بازار توزیع دیجیتال رسمی شرکت گوگل (Play Store) یا حداقل بازارهای مورد اعتماد معروف دانلود کنید. همچنین از غیرفعال بودن گزینه Unknown sources در بخش Settings و از فعال بودن گزینه Scan device for security threats در قسمت Google Settings دستگاه اطمینان داشته باشید. با غیرفعال بودن گزینه نخست، از اجرا شدن فایلهای APK میزبانی شده در بازارهای ناشناخته بر روی دستگاه جلوگیری میشود. وظیفه گزینه دوم نیز پایش دورهای دستگاه است.
- پیش از نصب هر برنامک امتیاز و توضیحات کاربران آن را مرور کرده و به نکات منفی توضیحات کاربران بیشتر توجه کنید
به حق دسترسیهای درخواستی برنامک در زمان نصب توجه کنید. اگر فهرست آن بهطور غیرعادی طولانی بود از نصب آن اجتناب کنید. - از راهکارهای امنیتی قدرتمند برای حفاظت از دستگاههای همراه خود یا سازمانتان استفاده کنید. توضیح اینکه نمونههای بررسی شده توسط شرکت مهندسی شبکه گستر توسط راهکارهای ضدبدافزار McAfee،و Bitdefender و ESET با نامهای زیر شناسایی میشوند.
McAfee
– Artemis!2A6EF3539913
– Artemis!5B3203816953
– Artemis!965A5E5D237C
– Artemis!6865D4FAA9A1
– Artemis!5A4E9A8E3903
Bitdefender
– Android.Riskware.Agent.gXZIO
– Android.Trojan.Carnooc.F
– Android.Riskware.Agent.gXZIB
ESET
– a variant of Android/Agent.TS
– a variant of Android/Spy.Banker.ES