کشف تروجان Triada در ثابت‌افزار تلفن‌‌های همراه هوشمند ارزان قیمت

پژوهش‌گران امنیتی کشف کردند که تروجان پیشرفته‌ی Triada در ثابت‌افزار بیش از ۴۰ مدل تلفن همراه اندروید ارزان قیمت وجود دارد.

 

بدافزار Triada که در اوایل سال ۲۰۱۶ میلادی کشف شد و به عنوان یکی از پیشرفته‌ترین تهدیدات تلفن همراه مورد توجه قرار گرفت، از فرآیند Zygote برای تزریق کد خود در محتوای تمام نرم‌افزارهای موجود روی دستگاه سوء استفاده می‌کند. این تروجان از امتیازات ریشه برای جایگزینی پرونده‌های سامانه استفاده می‌کند و عمدتا در رَم دستگاه مستقر می‌شود، و به همین دلیل کشف این بدافزار مشکل است.

در ماه آوریل سال گذشته، پژوهش‌گران امنیتی کشف کردند که Triada برای تقویت قابلیت‌های دور زدن راه‌کارهای تشخیص خود از فناوری جعبه‌ی شنی استفاده می‌کند. این بدافزار به طور خاص از جعبه‌ی شنی متن‌باز DroidPlugin که به آن اجازه می‌دهد در طول فرآیند نصب، به طور پویا کدهایی را بارگذاری و اجرا کند، استفاده می‌کند.

چند ماه بعد، در ماه جولای سال ۲۰۱۷ میلادی، شرکت امنیتی روسی Doctor Web گزارش داد که بدافزار Triada در ثابت‌افزار چند مدل تلفن همراه هوشمند اندروید موجود است. در آن زمان، فهرست مدل‌ دستگاه‌های آلوده شامل Leagoo M5 Plus، Leagoo M8، Nomu S10 و Nomu S20 بود.

اکنون این شرکت امنیتی نشان می‌دهد که این تروجان روی تعداد بسیار بیشتری از مدل‌های تلفن‌های همراه اندرویدی به صورت پیش‌فرض نصب شده است. به گفته‌ی پژوهش‌گران امنیتی، به طور کلی بیش از ۴۰ مدل دستگاه تحت تاثیر شناسایی شده است.

 

نوع خاص تروجان کشف شده در این دستگاه‌‌ها به عنوان Android.Triada.231 شناخته شده است و تمام قابلیت‌های یک عضو از خانواده‌ی Triada را دارد: این تروجان ماژول خود را در فرآیند Zygote تزریق می‌کند تا بتواند به تمام برنامه‌های در حال اجرا بر روی دستگاه نفوذ کند.

این کار به این تروجان اجازه می‌دهد تا طیف گسترده‌ای از فعالیت‌های مخرب مانند بارگیری و راه‌اندازی مخفیانه‌ی برنامه‌ها را بدون نیاز به تعامل کاربر انجام دهد. تروجان Triada که دارای معماری ماژول‌بندی‌شده است، می‌تواند پیامک‌های مربوط به تراکنش‌های مالی را تحت تاثیر قرار داده و اقدامات مخربی مانند سرقت پول از کاربر انجام دهد.

از آن‌جایی که نویسندگان این بدافزار موفق به تزریق Android.Triada.231 به کتابخانه‌ی سامانه‌ی libandroid_runtime.so شده‌اند، آن‌ها می‌توانند به ثابت‌افزار یک دستگاه را در طی فرآیند تولید، آسیب برسانند، و در نهایت کاربران تلفن‌های همراه هوشمندی را دریافت می‌کنند که آلوده هستند.

شرکت امنیتی Doctor Web می‌گوید که آن‌ها سال گذشته این تهدید را به سازندگانی که دستگاه‌های آلوده را تولید می‌کردند، اطلاع دادند، اما تولید دستگاه‌های آلوده متوقف نشد. یکی از این دستگاه‌های آلوده تلفن همراه هوشمند Leagoo M9 است که در دسامبر سال ۲۰۱۷ میلادی معرفی شد.

شرکت امنیتی Doctor Web می‌گوید: «علاوه‌بر این، پژوهش‌های تحلیل‌گران ما نشان می‌دهد که نفوذ این تروجان به ثابت‌افزار به درخواست شریک Leagoo، یک توسعه‌دهنده‌ی نرم‌افزار از شانگهای، انجام شده است. این شرکت یکی از برنامه‌های خود را در اختیار Leagoo قرار داده است تا در یک تصویر در سامانه‌ی سامل تلفن همراه قرار بگیرد، این شرکت همچنین طی یک دستورالعمل از Leagoo خواسته است تا قبل از کامپایل کردن این برنامه کد شخص ثالثی را به کتابخانه‌های سامانه اضافه کند.»

علیرغم این درخواست بحث‌برانگیز، این سازنده مشکوک نشده و این تروجان را بدون هیچ مخالفتی در مدل تلفن همراه هوشمند جدید خود قرار داده است.

پژوهش‌گران امنیتی همچنین کشف کردند که این برنامه‌ی مخرب با گواهی‌نامه‌ی مشابه تروجان Android.MulDrop.924 که در سال ۲۰۱۶ میلادی کشف شد، امضا شده است. این مسأله نشان می‌دهد که درخواست این توسعه‌دهنده مبنی‌بر اضافه کردن کد در سامانه‌ عامل این تلفن همراه احتمالا به منظور توزیع بدافزار Triada بوده است.

 

شرکت امنیتی Doctor Web فهرستی از ۴۰ مدل دستگاه آلوده را که تحت تاثیر بدافزار Triada قرار دارند، منتشر کرده است، اما هشدار می‌دهد که این فهرست ممکن است جامع نباشد و تلفن‌های همراه هوشمند دیگری نیز وجود داشته باشند که تحت تاثیر این تروجان قرار گرفته‌اند. سازندگان تلفن همراه تحت تاثیر شامل Leagoo، ARK، Zopo، Doogee، Vertex، Advan، Cubot، Prestigio، Pelitt هستند.

پژوهش‌گران خاطر نشان کردند: «توزیع گسترده‌ی بدافزار Android.Triada.231 نشان می‌دهد که بسیاری از سازندگان دستگاه‌های اندروید توجه کمی به مسائل امنیتی و نفوذ کد تروجان به مولفه‌های سامانه دارند. این مسأله می‌تواند به دلیل خطا یا اهداف مخرب اتفاق افتاده باشد و احتمالا یک روش معمول است.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید