بدافزارهای سه‌ماهه دوم 2013 به گزارش Kindsight – قسمت دوم

IRCRE201309146
تاريخ: 26/06/92

مقدمه
گزارش بدافزارهاي سه‌ماهه دوم 2013 منتشر شده توسط آزمايشگاه‌هاي امنيتي Kindsight، روندهاي معمول آلودگي‌هاي بدافزاري در شبكه‌هاي خانگي يا آلودگي‌هاي دستگاه‌هاي موبايل و كامپيوترهاي متصل به شبكه‌هاي موبايل را بررسي مي‌كند. داده‌هاي اين گزارش از شبكه‌هايي كه از محصولات Kindsight استفاده مي‌كنند جمع‌آوري شده است. در ادامه به قسمت دوم اين گزارش مي‌پردازيم.

آمار بدافزارهاي موبايل سه‌ماهه دوم 2013

• نرخ آلودگي دستگاه‌هاي موبايل
  0.52% از دستگاه‌ها در شبكه‌هاي موبايل توسط تهديدات بدافزاري سطح بالا آلوده شده‌اند. اين ميزان نسبت به سه‌ماهه نخست اين سال (0.50%) اندكي بالاتر است. بخش عمده اين دستگاه‌هاي آلوده را تلفن‌هاي اندرويد يا لپ‌تاپ‌هاي ويندوز تشكيل مي‌دهند. نرخ آلودگي دستگاه‌هاي اندرويد بيش از 1.0% است.
  مي‌توانيد در نمودار فوق مشاهده كنيد كه آلودگي دستگاه‌هاي اندرويد در حال افزايش است. آلودگي دستگاه‌هاي آيفون، بلك‌بري و ساير دستگاه‌ها، كمتر از 1% كل آلودگي مشاهده شده در شبكه موبايل را تشكيل مي‌دهد.
• بدافزارهاي برتر اندرويد
  جدول زير نشان دهنده 20 بدافزار برتر اندرويد است كه در سه‌ماهه دوم اين سال در شبكه‌هايي كه از Kindsight استفاده مي‌كنند تشخيص داده شده‌اند.
  اغلب اين‌ها برنامه‌هاي آلوده به تروجان هستند كه اطلاعاتي راجع به تلفن را سرقت كرده يا پيام كوتاه ارسال مي‌كنند، ولي اين فهرست شامل تروجان‌هاي بانكي نيز هست كه توكن‌هاي دسترسي وب‌سايت‌هاي بانكي را سرقت مي‌كنند و نيز برنامه‌هاي جاسوس‌افزاري نيز هستند كه براي جاسوسي در مورد اعضاي خانواده يا وابستگان مورد استفاده قرار مي‌گيرند.
• تهديدات برتر موبايل
  Uapush.A يك تروجان تبليغ‌افزار سطح متوسط دستگاه‌هاي اندرويد كه پيام كوتاه نيز ارسال مي‌كند و اطلاعات را از دستگاه قرباني سرقت مي‌نمايد. از ماه آوريل تا كنون فعاليت اين بدافزار به‌طور مداوم افزايش يافته است. سايت دستور و كنترل اين بدافزار در چين قرار دارد.
  QdPlugin يك تروجان اندرويد است كه برنامه‌هاي تبليغ‌افزاري را دانلود و نصب مي‌كند كه اطلاعاتي مانند IMEI، IMSI و كد كشور را از تلفن سرقت مي‌كنند. اين بدافزار به عنوان نسخه‌اي از بازي‌هاي معتبر منتشر مي‌گردد. اين بدافزار يك ارتباط دستور و كنترل با يك سرور راه دور مستقر در ايالات متحده برقرار مي‌كند. به نظر مي‌رسد كه هدف از اين ارتباط، كنترل راه دور برنامه تبليغ‌افزار است. نرخ آلودگي اين بدافزار در طول دو ماه گذشته كاهش يافته است.
• نمونه‌هاي بدافزارهاي موبايل
  نشانه ديگري از افزايش بدافزارهاي اندرويدي، افزايش تعداد نمونه‌ها در پايگاه داده بدافزارها است. نمودار زير اعداد مربوط به سال گذشته را نشان مي‌دهد. در سه‌ماهه دوم به تنهايي، شاهد افزايش 6 برابري نمونه‌هاي بدافزارهاي اندرويدي بوده‌ايم.
• جاسوس‌افزارهاي موبايل و جاسوسي شركت‌ها
  جاسوس‌افزارهاي موبايل مانند MobileSpy و FlexiSpy مي‌توانند به‌طور قانوني براي مراقبت والدين از فرزندان و رديابي آنها مورد استفاده قرار گيرند. اما اغلب براي مقاصد مشكوك استفاده مي‌شوند.
  نتايج مربوط به بررسي جاسوس‌افزارهاي موبايل در اين سه‌ماهه، افزوده شدن جاسوس‌افزارهاي PhoneRecon، Spybubble، SpyMob و Spyoo را به مجموعه اين جاسوس‌افزارها نشان مي‌دهد.
  با توجه به اين نكته كه امروزه بسياري از كارمندان از دستگاه‌هاي موبايل و لپ‌تاپ خود در محيط كار استفاده مي‌كنند، تهديد اين برنامه‌هاي جاسوس‌افزار افزايش مي‌يابد. چرا كه آنها مي‌توانند به‌طور پنهاني بر روي دستگاه موبايل هر كارمندي نصب گردند و براي جاسوسي صنعتي يا شركتي مورد استفاده قرار گيرند. زماني كه كارمندي با موبايل خود به شبكه WiFi شركت متصل مي‌شود، دستگاه آلوده يك دسترسي راه دور به شبكه شركت را براي مهاجم فراهم مي‌كند و قابليت بررسي آسيب‌پذيري‌ها و تجهيزات شبكه را در اختيار وي قرار مي‌دهد.
• بردارهاي آلودگي موبايل
  تا كنون اغلب بدافزارهاي موبايل تحت عنوان برنامه‌هاي آلوده به تروجان منتشر شده‌اند كه از طريق Google Play، يا ساير فروشگاه‌هاي برنامه‌هاي معتبر توزيع مي‌شوند. Google از طريق برنامه Bouncer خود سعي كرده است برنامه‌هاي حاوي بدافزار را اسكن كرده و حذف نمايد، ولي برخي از اين برنامه‌ها همواره از شناسايي فرار مي‌كنند. بسياري از فروشگاه‌هاي متفرقه برنامه‌ها نيز هيچ تلاشي براي بررسي برنامه‌هاي حاوي بدافزار انجام نمي‌دهند.
  اخيراً بت‌نت Cutwail براي كمك به انتشار تروجان اندرويدي Stels مورد استفاده قرار گرفته است. در گذشته Cutwail براي فريب قربانيان و گرفتار كردن آنها در دام وب‌سايت‌هاي خطرناك مورد استفاده قرار مي‌گرفت، اما اكنون در حال ارسال هرزنامه براي كاربران جهت فريب آنها براي نصب يك به‌روز رساني جعلي فلش‌پلير است كه در حقيقت، تروجان Stels را نصب مي‌كند. اين تروجان با ارسال پيام‌هاي كوتاه در طول شب، به كاربر هزينه تحميل مي‌كند.
• آسيب‌پذيري‌هاي امضاي برنامه‌هاي اندرويد
  مدل امنيتي اندرويد مدت‌ها ضعيف شناخته مي‌شد، ولي تحقيقات ضعف‌هاي امنيتي ديگري در مديريت امضاهاي برنامه‌ها را آشكار كرد. تمامي برنامه‌هاي اندرويد بايد به‌طور رمزنگاري شده امضا گردند. اين كار به شما اجازه مي‌دهد كه هويت نويسنده برنامه را شناسايي كنيد و اطمينان حاصل كنيد كه برنامه اصلي تغيير نكرده است. متأسفانه در اندرويد دو مشكل اساسي در اين مورد وجود دارد:
  • امضاهاي قديمي: زماني كه برنامه‌اي نصب مي‌شود، سيستم عامل اندرويد بررسي مي‌كند كه برنامه امضا شده باشد، ولي براي بررسي اعتبار امضا تلاشي نمي‌كند. به اين ترتيب هر امضاي قديمي نيز پذيرفته مي‌شود. برنامه‌ها به‌طور روتين با گواهينامه‌هاي خود امضا، امضا مي‌شوند. اين مسأله به امضا كننده اجازه مي‌دهد هر اطلاعاتي را كه مايل است در گواهينامه قرار دهد. اين موضوع ايجاد نسخه‌هاي كپي از برنامه‌ها با تزريق سرويس‌هاي تروجان در آنها را ساده مي‌كند.
  • عدم بررسي امضاها در زمان اجرا: امضاي ديجيتالي صرفاً در هنگام نصب برنامه بررسي مي‌گردد و در هنگام اجراي برنامه مورد بررسي قرار نمي‌گيرد. BlueBox اخيراً نشان داده است كه شما مي‌توانيد فايل APK يك برنامه نصب شده را بدون هيچ هشداري از طرف سيستم تغيير دهيد. اين مسأله به مهاجم اجازه مي‌دهد كد خرابكار را به برنامه‌هاي موجود تزريق نمايد. كد بدافزار تزريق شده قادر به استفاده از تمامي مجوزها و حقوق دسترسي برنامه‌اي كه مورد سوء استفاده قرار گرفته است، خواهد بود.