شرکت Check Point از آلوده بودن نزدیک به پنج میلیون دستگاه تحت سیستم عامل اندروید به بدافزاری با عنوان RottenSys خبر داده است.
این شرکت اعلام کرده که RottenSys در ظاهر یک برنامک System Wi-Fi Service به صورت از قبل نصب شده بر روی دستگاههای جدید ساخت شرکتهای زیر مشاهده شده است:
- Honor
- Huawei
- Xiaomi
- OPPO
- Vivo
- Samsung
- GIONEE
تمامی دستگاههای آلوده توسط یک شرکت چینی فروشنده گوشیهای همراه توزیع شدهاند. مشخص نیست که آیا این شرکت، خود، نقش مستقیمی در آلودهسازی این دستگاهها پیش از عرضه شدن به کاربر داشته یا شبکه آن به نحوی مورد دست درازی هکرها قرار گرفته بوده است.
بر اساس توضیحات محققان کاشف این بدافزار پیچیده، RottenSys بر خلاف نام گمراهکنندهاش، هیچ گونه سرویس Wi-Fi برای کاربر فراهم نمیکند. در عوض تمامی دسترسیهای سطح بالا را بر روی دستگاه در اختیار میگیرد.
به گزارش شرکت مهندسی شبکه گستر، یافتههای Check Point نشان میدهد که RottenSys حداق از سپتامبر 2016 فعال بوده است. تعداد کل دستگاه های آلوده به این بدافزار در 21 اسفند ماه 4,964,460 دستگاه اعلام شده است.
برای شناسایی نشدن و جلوگیری از مشکوک نشدن کاربر، بدافزار در ابتدا هیچ گونه رفتار مخربی از خود بروز نمیدهد.
بدافزار RottenSys به نحوی طراحی شده که با سرورهای فرماندهی خود ارتباط برقرار کرده و فهرستی از اجزای مخرب مورد نیاز مهاجمان را دریافت کند.
هر کدام از این اجزا با سطح دسترسی DOWNLOAD_WITHOUT_NOTIFICATION بر روی دستگاه نصب میشوند.
در حال حاضر این بدافزار سبب نمایش تبلیغات ناخواسته بر روی دستگاه آلوده شده میشود. تنها طی ده روز، مجموعاً بیش از 13 میلیون تبلیغ ناخواسته بر روی این دستگاهها نمایش داده شده که در نیم میلیون موارد کاربر بر روی تبلیغ کلیک کرده است.
بر اساس توضیحات Check Point گردانندگان RottenSys تنها در این ده روز بیش از 115 هزار دلار درآمد کسب کردهاند.
با این حال این بدافزار، تواناییهایی بسیار بیشتر و مخرب تر از نمایش تبلیعات ناخواسته دارد. بنابراین این خطر وجود دارد که دیر یا زود مهاجمان دست به اجرای اقداماتی به مراتب مخربتر بزنند.
شرکت Check Point اعلام کرده که وجود برنامکهایی با هر یک از عناوین زیر میتواند نشانهای از آلوده بودن دستگاه به این بدافزار باشد:
- com.android.yellowcalendarz (每日黄历)
- com.changmi.launcher (畅米桌面)
- com.android.services.securewifi (系统WIFI服务)
- com.system.service.zdsgt
برای پاکسازی تنها کافی است که برنامکهای مذکور از روی دستگاه Uninstall شوند.
مشروح گزارش Check Point در اینجا قابل دریافت و مطالعه است.