کشف تروجان اندرویدی جدید با نام KevDroid

 

محققان امنیتی تروجان اندرویدی جدیدی را شناسایی کردند که می تواند اطلاعات زیادی را از دستگاه آلوده به سرقت ببرد. این بدافزار KevDroid نام داشته و می تواند پیام ها، تاریخچه ی تماس های تلفنی و فهرست مخاطبان را به سرقت ببرد. همچنین این تروجان اندرویدی قادر است تماس های تلفنی را ضبط کند. تاکنون دو نسخه از این بدافزار شناسایی شده است. 


یکی از نسخه‌های بدافزار، از آسیب‌پذیری CVE-2015-3636 بهره‌برداری می‌کند تا به دسترسی ریشه برسد و ضبط تماس‌های تلفنی در هر دو نسخه از بدافزار بکسان بوده و برای بدست آوردن این قابلیت از یک پروژه‌ی متن‌باز در گیت‌هاب استفاده می‌کنند. وقتی دستگاهی به نسخه‌ی اولیه بدافزار KevDroid آلوده شد، این بدافزار می‌تواند اطلاعاتی مانند برنامه‌های نصب‌شده، شماره تماس، پیامک‌های دریافتی، تاریخچه‌ی تماس‌ها، مکان، فهرست مخاطبان، ایمیل‌ها و تصاویر را بدست آورد.  


نسخه‌ی دوم از این بدافزار دارای اندازه‌ی بزرگ‌تری بوده و بر روی URL یکسانی میزبانی می‌شود و به نظر می‌رسد برای ذخیره‌سازی داده‌ها از پایگاه داده‌ی SQLite استفاده می‌کند. این نسخه، قابلیت‌های نسخه‌ی اول را دارا بوده و همچنین قابلیت سرقت اطلاعات وب‌سایت‌ها، ضبط دوربین و ویدئو، سرقت فایل و بدست آوردن دسترسی ریشه را نیز دارا می‌باشد.


یک فایل ELF همراه برنامه‌ی اندرویدی تعبیه شده و سعی می‌کند از آسیب‌پذیری CVE-2015-3636 بهره‌برداری کند. کدهای مربوط به این بهره‌برداری بر روی گیت‌هاب موجود است. این بدافزار با بدست آوردن دسترسی‌های سطح بالا، می‌تواند عملیات پیچیده‌تری مانند سرقت فایل‌ها از برنامه‌های کاربردی دیگر را اجرا کند.


مهاجمان با آلوده کردن دستگاه‌های اندرویدی به این بدافزار می‌توانند به اطلاعات حساسی مانند گواهی‌نامه‌ها و اطلاعات کارت‌های بانکی قربانی دسترسی داشته باشند. اگر دستگاه آلوده در یک محیط اداری باشد، مهاجم می‌تواند به راحتی در داخل سازمان به جاسوسی بپردازد. 


محققان زمانی‌ که سرور دستور و کنترل این بدافزار اندرویدی را مورد بررسی قرار می‌دادند، با یک تروجان ویندوزی با نام PubNubRAT مواجه شدند. این بدافزار ویندوزی، از شبکه‌ی جریان داده‌ی عمومی PubNub به عنوان دستور و کنترل استفاده کرده و برای ارسال دستورات به دستگاه‌های آلوده نیز از واسط‌های برنامه‌نویسی PubNub استفاده می‌کند. استفاده از سرویس‌های قانونی برای ارتباطات با سرور دستور و کنترل امروزه بسیار رایج شده و شناسایی عملیات مخرب را برای سیستم‌های امنیتی مشکل می‌سازد.


در این تروجان ویندوزی، یک فایل RTF تلاش می‌کند از آسیب‌پذیری CVE-2017-11882 در آفیس با استفاده از یک شی Microsoft Equation بهره‌برداری کند که برای آلوده کردن دستگاه مورد استفاده قرار می‌گیرد. این سند آفیس به زبان کره‌ای نوشته شده و حاوی اطلاعاتی در مورد بیت‌کوین و چین است. وقتی دستگاه به این بدافزار ویندوزی آلوده شد، بدافزار می‌تواند فایل‌ها را به سرقت ببرد، برنامه‌هایی را دانلود و اجرا کند، پردازه‌ها را خاتمه داده و از صفحه‌ی نمایش عکس بگیرد. 
 

منبع

پست‌های مشابه

Leave a Comment