انتشار گسترده بدافزار Tordow

به گزارش شرکت مهندسی شبکه گستر، محققان شرکت Comodo از انتشار گسترده نسخه دوم بدافزار پیشرفته Tordow که دستگاه‌های با سیستم عامل Android را هدف می‌دهد خبر داده‌اند.

ویژگی اصلی این بدافزار، توانایی آن در روت کردن (Rooting) دستگاه‌های مبتنی بر سیستم عامل Android است. کاری که حداقل در تئوری، بدافزار را قادر به اجرای هر فرمان مخربی می‌کند. این نسخه Tordow، شامل 9 روش مختلف، برای اطمینان از فراهم شدن حق دسترسی Root است.

بر طبق توضیحات محققان Comodo، نسخه دوم بدافزار Tordow قادر به اجرای خرابکاری‌های زیر بر روی دستگاه‌های Android است:

• برقراری تماس‌های تلفنی
• مدیریت پیامک (SMS)
• دانلود و نصب برنامک
• دسترسی به دفترچه تلفن دستگاه
• رمزنگاری فایل‌ها
• دسترسی از راه دور به نشانی URL
• سرقت اطلاعات اصالت‌سنجی برنامک‌ها
• سرقت داده‌ها از مرورگر Chrome
• جاسوسی از برنامک‌های بانکی
• راه‌اندازی مجدد دستگاه
• دسترسی و تغییر نام فایل‌ها
• جمع‌آوری مشخصات دستگاه
• جمع‌آوری اطلاعات مربوط به موقعیت جغرافیایی داده‌ها

به گفته این محققان، گردانندگان Tordow، در اکثر مواقع، از این بدافزار برای سرقت اطلاعات اصالت‌سنجی مشتریان بانک‌های روسی استفاده می‌کنند.

همچنین قابلیت رمزنگاری نسخه جدید، فایل‌ها را با الگوریتم AES رمزگذاری می‌کند. عملیات رمزگذاری با کلید MIIxxxxCgAwIB که در کد بدافزار درج شده انجام می‌شود. با توجه به کلید متقارن بودن الگوریتم AES، با اطلاع از این کلید، امکان رمزگشایی فایل‌ها ممکن می‌شود و بنابراین نمی توان آن را یک باج‌افزار (Ransomware) پیشرفته دانست.

گردانندگان Tordow، با تزریق کد این بدافزار در برنامک‌های معروفی نظیر Telegram و Pokemon و با اشتراک‌گذاری آنها در بازارهای توزیع دیجیتال (Store) غیررسمی، کاربران را هدف قرار داده‌اند.

نسخه اول این بدافزار، نخستین بار در ماه سپتامبر شناسایی شد. اما بررسی‌های بعدی نشان داد که این بدافزار از حدود یک سال قبل فعال بوده است.

برای ایمن ماندن از گزند این نوع بدافزارها، رعایت موارد زیر توصیه می‌شود:

• سیستم عامل و برنامک‌های نصب شده بر روی دستگاه همراه خود را همیشه به آخرین نسخه ارتقاء دهید.
• برنامک‌ها را فقط از بازار توزیع دیجیتال رسمی شرکت گوگل (Play Store) یا حداقل بازارهای مورد اعتماد معروف دانلود کنید. همچنین از غیرفعال بودن گزینه Unknown sources در بخش Settings و از فعال بودن گزینه Scan device for security threats در قسمت Google Settings دستگاه اطمینان داشته باشید. با غیرفعال بودن گزینه نخست، از اجرا شدن فایل‌های APK میزبانی شده در بازارهای ناشناخته بر روی دستگاه جلوگیری می‌شود. وظیفه گزینه دوم نیز پایش دوره‌ای دستگاه است.
• پیش از نصب هر برنامک امتیاز و توضیحات کاربران آن را مرور کرده و به نکات منفی توضیحات کاربران بیشتر توجه کنید
  به حق دسترسی‌های درخواستی برنامک در زمان نصب توجه کنید. اگر فهرست آن به‌طور غیرعادی طولانی بود از نصب آن اجتناب کنید.
• از راهکارهای امنیتی قدرتمند برای حفاظت از دستگاه‌های همراه خود یا سازمانتان استفاده کنید. توضیح اینکه نمونه‌های بررسی شده توسط شرکت مهندسی شبکه گستر توسط راهکارهای ضدبدافزار McAfee،و Bitdefender و ESET با نام‌های زیر شناسایی می‌شوند.

McAfee
   – Artemis!2A6EF3539913
   – Artemis!5B3203816953
   – Artemis!965A5E5D237C
   – Artemis!6865D4FAA9A1
   – Artemis!5A4E9A8E3903

Bitdefender
   – Android.Riskware.Agent.gXZIO
   – Android.Trojan.Carnooc.F
   – Android.Riskware.Agent.gXZIB

ESET
   – a variant of Android/Agent.TS
   – a variant of Android/Spy.Banker.ES