باج ‌افزاری که به طور نامرئی در اندروید نصب می‌شود

اگر جزو آن گروه از کاربرانی هستید که دائماً آنلاین هستند، باید بدانید که چند وقتی است باج‌افزار خطرناکی به نام «Dogspectus» کاربران پلتفرم اندروید را تهدید می‌کند. این باج‌افزار بدون اینکه هیچ‌گونه پیغامی درباره فرایند نصب به کاربران نشان دهد، از طریق تبلیغاتی که بر مبنای جاوا اسکرپیت قرار دارند و در صفحات وب میزبانی می‌شوند، به درون دستگاه‌ همراه کاربر وارد شده و روی تلفن هوشمند یا تبلت او نصب می‌شود.

در طول حمله به دستگاه قربانی هیچ‌گونه پیغامی مبنی بر اخذ مجوز از کاربر که برای نصب برنامه‌های اندرویدی نشان داده می‌شود، ظاهر نمی‌شود. بعد از نصب، باج‌افزار در اختفای کامل به تخریب سیستم کاربر می‌پردازد. جاشوا دریک، از شرکت امنیتی «Zimperium» در این باره گفته است: «تحلیل ما نشان می‌دهد که این اکسپلویت بر مبنای کتابخانه libxslt که چندی پیش در اثر وجود رخنه‌ای در شرکت Hacking Team به بیرون راه پیدا کرد، ساخته شده است. همچنین کشف کردیم که این اکسپلویت از فایل اجرایی ELF لینوکس به نام module.co استفاده می‌کند که برای بارگذاری اکسپلویت futex  و Towelroot اولین بار در سال ۲۰۱۴ میلادی کشف شد.» در حال حاضر تنها دو آنتی‌ویروس موفق به طبقه‌بندی Towelroot شده‌اند. Towelroot کدهایی را که برای دانلود و نصب این برنامه اندرویدی مخرب نیاز است، آماده می‌کند.

آن‌گونه که آزمایشگاه مؤسسه امنیتی «Blue Coat Systems» گزارش داده است، این باج‌افزار از آسیب‌پذیری‌های موجود در نسخه‌های قدیمی اندروید استفاده می‌کند. در نتیجه بدون اینکه نیازی به اخذ مجوز از کاربر داشته باشد، روی سیستم او نصب می‌شود. این آزمایشگاه یک تبلت قدیمی سامسونگ (Cyanogenmod 10) را که در اصل از نسخه ۴.۲.۲ اندروید استفاده می‌کند، آزمایش کرده و مشاهده کرده‌اند که به این باج‌افزار آلوده شده است.
نکته‌ای که باعث نگرانی مضاعف کارشناسان شده است، این است که بسیاری از دارندگان دستگاه‌های اندرویدی هیچ تمایلی برای به‌روزرسانی دستگاه خود ندارند یا بدتر از آن، تعدادی از دستگاه‌ها هیچ‌گاه به نسخه‌های جدیدتر به‌روزرسانی نخواهند شد. همین مسئله باعث می‌شود این دستگاه‌ها همیشه در برابر این تهدید آسیب‌پذیر باشند.

از جمله این دستگاه‌ها می‌توان به پخش‌کننده‌های چندرسانه‌ای ارزان‌ قیمتی که اساساً از اندروید استفاده کرده و به تلویزیون‌ها متصل می‌شوند و از سیستم‌عامل اندروید ۴.x استفاده می‌کنند، اشاره کرد. وضعیت دستگاه‌های اندرویدی قدیمی درست همانند کامپیوترهای شخصی است که این روزها همچنان از سیستم‌عامل ویندوز ایکس‌پی استفاده می‌کنند، در حالی که دیگر هیچ‌گونه به‌روزرسانی برای آن‌ها ارسال نمی‌شود و در نتیجه در برابر تهدیدات آسیب‌پذیر هستند. گزارش‌های Blue Coat نشان می‌دهد که تعدادی از بخش‌های فعال در حوزه شبکه کمتر از یک ماه است که با این تهدید روبه‌رو شده‌اند، در حالی که به نظر می‌‌رسد، دیگر بخش‌ها از نیمه‌های فوریه یا حتی قبل‌تر از آن، در معرض این تهدید قرار گرفته‌اند. کارشناسان Blue Coat با رهگیری درخواست‌های ترافیک پروتکل HTTP که تعدادی از مشتریان این شرکت روی شبکه ارسال کرده بودند، موفق به ساخت پروفایلی از دستگاه‌های آلوده شدند. با دنبال کردن الگوی مورد استفاده در حملات و آدرس‌های IP که اقدام به میزبانی کرده‌اند، کارشناسان موفق به طراحی نقشه‌ای شدند که نحوه ارتباط میان این الگوها را نشان می‌دهد. اکنون می‌دانیم نرم‌افزار مخرب چگونه با مرکز کنترل و فرمان‌دهی خود ارتباط برقرار می‌کند.

بررسی آزمایشگاه Blue Coat نشان می‌دهد که حداقل ۲۲۴ مدل از دستگاه‌های اندرویدی کاربرانی که از نسخه‌های ۴.۰.۳ و ۴.۴.۴ استفاده می‌کنند، از ۲۲ فوریه تا به امروز با مرکز کنترل و فرمان‌دهی این باج‌افزار در ارتباط بوده‌اند. واقعیت این است که تعدادی از دارندگان این دستگاه‌ها درباره آسیب‌پذیری libxlst که به واسطه کتابخانه به بیرون درز پیدا کرده و Hacking Team روی دستگاه آن‌ها قرار دارد، هیچ گونه اطلاعی ندارند. در نتیجه این احتمال وجود دارد که اکسپلویت‌های دیگری نیز به واسطه این نشتی اطلاعات روی دستگاه‌ها وجود داشته باشد که تعداد دیگری از دستگاه‌های همراه را آلوده کند.

این اولین باری است که یک کیت اکسپلویت موفق شده است برنامه‌های مخرب را بدون اینکه هیچ‌گونه تعاملی با کاربر داشته باشد، به‌طور مخفیانه نصب کند. جالب آنکه شیوه کارکرد این باج‌افزار در مقایسه با باج‌افزارهای رایج دیگر منحصربه‌فرد و البته غیرمعمول است. در حالی که در شرایط عادی با‌ج‌افزارها از قربانیان خود مبلغی برای آزادسازی دستگاه طلب می‌کنند، اما در مقابل باج‌افزار Dogspectus زمانی که روی دستگاه کاربر نصب شد و کنترل آن را به دست گرفت، از او می‌خواهد برای باز پس‌گیری دستگاه خود تعدادی کارت هدیه به ارزش صد دلار از فروشگاه «آی‌تیونز» بخرد.