تحقیقات تازه کارشناسان امنیتی نشان میدهد برخی تبلتهای اندرویدی حتی پیش از آنکه به دست خریدار برسند، به بدافزاری بسیار عمیق و خطرناک آلوده شدهاند. این بار پای یک بدافزار سطح فریمور در میان است که برنامههای آنتیویروس معمولی قادر به تشخیص و پاک کردن آن نیستند.
طبق دادههای تلهمتری کسپرسکی، دستکم ۱۳٬۷۱۵ کاربر در کشورهای مختلف از جمله روسیه، ژاپن، آلمان، برزیل و هلند تحت تأثیر این آلودگی قرار گرفتهاند که بزرگی آن را نشان میدهد.
شناسای بدافزار و در پشتی Keenadu
کارشناسان امنیتی شرکت Kaspersky در جریان بررسی تروجان شناختهشده Triada موفق به کشف یک درِ پشتی جدید شدهاند که آن را Keenadu نامگذاری کردهاند. مجرمین از این طریق نهتنها روی تبلتهای نو بدافزار نصب کردهاند، بلکه دسترسیهای بسیار خطرناکی هم برای خود فراهم کردهاند.
در پشتی Keenadu در مرحله ساخت فریمور دستگاه در آن تعبیه میشود که طی آن فایلهای باینری سیستمعامل کامپایل میشوند. در مرحله یاد شده یک کتابخانه مخرب بهطور مخفیانه به فایل حیاتی libandroid_runtime.so اندروید متصل میشود.
پس از روشن شدن دستگاه، این کتابخانه مخرب خودش را به فرایند Zygote تزریق میکند که یکی از بنیادیترین بخشهای اندروید است و به بهعنوان «ریشه» اجرای تمام اپلیکیشنها و سرویسهای سیستمی عمل میکند. به این ترتیب Keenadu عملاً در تمام برنامههایی که کاربر اجرا میکند حضور دارد، بدون آنکه نشانهای آشکار از خود نشان دهد.
ساختار این بدافزار چندمرحلهای است و به مهاجمان امکان «کنترل تقریباً نامحدود» دستگاه را از راه دور میدهد. از دستکاری موتورهای جستوجو و نصب مخفیانه اپلیکیشنها گرفته تا تعامل پنهانی با تبلیغات و اجرای ماژولهای سفارشی، همه بخشی از قابلیتهای Keenadu هستند. نکته نگرانکنندهتر اینکه ردپای این بدافزار حتی در برخی اپلیکیشنهای توزیعشده از طریق Google Play و فروشگاه Xiaomi GetApps هم دیده شده است.
به نقل از TechSpot، کسپرسکی هنوز منشأ دقیق آلودگی را مشخص نکرده، اما شواهد به خرابکاری در زنجیره تأمین اشاره دارند؛ جایی که مجرمان سایبری به یکی از مراحل حساس تولید یا آمادهسازی فریمور دسترسی پیدا کردهاند و بدافزار را پیش از عرضه دستگاهها در آن جاسازی کردهاند.
ظاهراً تنها راه برای رهایی از چنین بدافزارهایی، ارائه فریمور پاک و عاری از بدافزار از سوی سازندگان است. بنابراین بهتر است همیشه آخرین آپدیتها را نصب کنید. متاسفانه کسپرسکی اسامی کامل برندهای آلوده به بدافزار را اعلام نکرده است.
