پایگاه اطلاع رسانی پلیس فتا :در این گزارش به تحلیل و
بررسی و آنالیز یک ویروس اندرویدی که کار تغییر اطلاعات و جاسوسی و
مانیتور کردن اطلاعات را در سخت افزار هایی که سیستم عامل آنها اندروید است
را بر عهده دارد می پردازیم و همچنین راه های در امان ماندن از این حملات
را در ادامه بیان میکنیم .
کشف شده در تاریخ : 12 آگوست 2014
به روز رسانی : 13 آگوست 2014 PM 12:02:49
نوع : تروجان , کرم اینترنتی
نوع تخریب و اثر گذاری : تغییر دادن - بی ثبات کردن - عوض کردن - دگرگون کردن
سیستم های تحت تاثیر : اندروید
این کرم ممکن است به عنوان یک بسته با مشخصات زیر دریافت شود:
نام فایل : com.example.xxshenqi, com.example.com.android.trogoogle
APK : com.android.Trogoogle.apk, sz.apk, XXshenqi.apk
سطح دسترسی و عملکرد :
هنگامی که این کرم نصب می شود ، برای انجام اقدامات زیر درخواست مجوز می کند :
• فرستادن پیامک .
• دسترسی به اطلاعات شبکه .
• خواندن دفترچه تلفن کاربر .
• ایجاد دفترچه تلفن جدید .
• مانیتور کردن پیامک های ورودی .
• ایجاد پیامک جدید .
• باز کردن کانکشن شبکه.
• شروع کار بلافاصله بعد از بوت سیستم .
نصب کردن :
پس از نصب، برنامه را به یک آیکون سیاه و سفید با شخصیت های چینی و یک " X " قرمز نشان میدهد .
عملکرد :
هنگامی که کرم اجرا شد به مهاجم اطلاع می دهد که APK با موفقیت بر روی دستگاه قربانی نصب شده است .
این کرم پس از آن شروع به ارسال پیام های SMS می کند. پیام های APK حاوی لینک های مخرب زیر است:
[http://]722q.com/sz.[REMOVED]
[http://]cdn.yyupload.com/down/4279193/XXshen[REMOVED]
این کرم می تواند اقدامات زیر را انجام دهد:
• سرقت اطلاعات شناسایی شخصی ( از طریق فرم ثبت نام )
• فرستادن ایمیل
• فرستادن پیامک
• مانیتور کردن پیامک
توصیه ها و پیشنهاد ها
توصیه های زیر از شرکت امنیتی سیمانتک است.که به همه مدیران و کاربران پیشنهاد می شود :
• استفاده از یک فایروال برای جلوگیری از اتصال اینترنت به خدماتی که نباید در دسترس عموم قرار بگیرد .
• اجرای یک سیاست رمز عبور. کلمات عبور پیچیده انتخاب کنید تا شکسته شدن
آنها دشوار باشد .این کمک می کند به منظور جلوگیری یا محدود کردن آسیب
هنگامی که یک کامپیوتر به خطر افتاده است .
• اطمینان حاصل شود که برنامه ها و کاربران که از کامپیوتر استفاده می کنند پایین ترین سطح دسترسی لازم برای یک کار را دارند
• وقتی که برای یک برنامه ریشه یا رمز عبور UAC درخواست می شود اطمینان
حاصل شود که برنامه ای که این سطح دسترسی را می خواهد یک برنامه مشروع است
.
• غیر فعال کردن حالت خودکار برای جلوگیری از اجرای اتوماتیک فایل های
اجرایی در شبکه و درایوهای قابل جابجایی ، و قطع درایوهای زمانی که مورد
نیاز نیست. اگر دسترسی مورد نیاز نمی باشد ، فعال کردن حالت فقط خواندنی
اگر این گزینه در دسترس است.
• غیرفعال کردن به اشتراک گذاری فایل در صورتی که نیاز نیست. اگر به
اشتراک گذاری فایل مورد نیاز است، استفاده از ACL ها و حفاظت از رمز عبور
برای محدود کردن دسترسی پیشنهاد می شود. دسترسی افراد ناشناس به پوشه های
به اشتراک گذاشته شده غیر فعال گردد.
• غیرفعال کردن و حذف سرویس های غیر ضروری. به طور پیش فرض ، بسیاری از
سیستم عامل ها خدمات کمکی نصب می کنند که مهم نیست. این خدمات راه حمله می
باشند.
• اگر مورد تهدید یا سوء استفاده یک یا چند خدمات شبکه قرار گرفتیدآن را
غیر فعال و یا دسترسی آن را بلوک کنید، تا زمانی که برای این خدمات پچ
اعمال می شود .
• همیشه سطوح پچ خود را به روز نگه دارید ، به خصوص در کامپیوترهایی که
میزبان خدمات عمومی و از طریق فایروال در دسترس هستند ، از جمله خدمات
HTTP ، FTP، EMAIL، و DNS .
• با پیکربندی سرور , ایمیل را مسدود و یا حذف ایمیل هایی که حاوی فایل
پیوست فایل است که معمولا مورد استفاده برای گسترش تهدیدات است، از جمله
.vbs ، .bat ، های exe ، .pif و فایل های .scr .
• اگر کامپیوتر به خطر افتد به سرعت برای جلوگیری از گسترش تهدیدات
اقدام شود. انجام تجزیه و تحلیل فارنزیکی و بازگرداندن کامپیوتر با استفاده
از رسانه های مورد اعتماد .
• کارکنان را برای باز کردن فایل پیوست و همچنین، نرم افزارهایی که از
اینترنت دریافت شده ، آموزش دهید که آن را با آنتی ویروس ها اسکن کنند و
سپس آن را اجرا کنید .
• اگر بلوتوث برای دستگاه های تلفن همراه مورد نیاز نمی باشد ، باید آن
را خاموش کرد. در صورت نیاز به استفاده از آن ، اطمینان حاصل شود که دید
دستگاه به صورت " پنهان " باشد به طوری که آن را توسط دستگاههای بلوتوث
دیگر نتوان اسکن کرد .
• اگر دستگاه احتیاج به جفت شدن دارد، اطمینان حاصل شود که سطح دسترسی
مجاز باشد و برنامه های کاربردی که بدون علامت و یا ارسال شده از منابع
ناشناخته است را نمی پذیرد.