اخیرا بدافزار جدیدی توسط شرکت AVG کشف شده است؛ این بدافزار در بطن
سیستمعامل اندروید نفوذ کرده و فرآیند خاموش کردن گوشی را دور میزند،
سپس در حالی که به نظر میرسد گوشی خاموش است، اطلاعات شخصی کاربران را
جاسوسی میکند.
به گزارش سافت گذر به نقل اززومیت؛ این بدافزار دارای ویژگیهای منحصربفرد سیستمعامل اندروید است؛ بدین
معنی که میتوانید فرآیند Shut down یا خاموش کردن گوشی هوشمند را در دست
گرفته و در حالی که به نظر میرسد گوشی خاموش است، به عملیات جاسوسی
اطلاعات میپردازد. این فرآیند PowerOffHijack نام دارد. به عبارت دیگر،
زمانی که دکمهی پاور را به منظور خاموش شدن گوشی نگه میدارید، درواقع
گوشی خاموش نمیشود؛ در این صورت بدافزار در پشت پرده اجرا شده و دسترسی کل
سیستمعامل را به دست میگیرد. به گزارش شرکت AVG، زمانی که دستگاه در این
حالت قرار دارد، بدافزار قادر است تماس برقرار کرده یا عکس بگیرد، تمامی
این فرآیندها بدون اطلاع کاربر صورت میگیرد.
نحوهی عملکرد بدافزار PowerOffHijack به ترتیب مراحل زیر است:
- ابتدا بدافزار مجوز دسترسی روت دستگاه را میگیرد.
- بعد از به دست آوردن دسترسی روت، کدهای مخرب خود را در
فرآیند system_server اعمال میکند، سپس شیِ mWindowManagerFuncs از
سیستمعامل را جعل میکند.
- در این مرحله، اگر دکمهی پاور دستگاه را نگه دارید، صفحهی تقلبی
خاموش شدن گوشی نشان داده شده میشود. در این حالت صفحه کاملا خاموش شده
اما گوشی در حال اجرا است.
- در آخر، برای نشان دادن خاموش بودن گوشی، برخی از فرآیندهای سیستمعامل نیز جعل میشوند.
بدافزار PowerOffHijack از کد زیر برای ضبط کردن تماس استفاده میکند:
از کد زیر هم برای انتقال پیامهای خصوصی استفاده میکند:
AVG در خصوص این بدافزار گفت:
این بدافزار در نسخههای کمتر از ۵ اندروید نصب شده است و کاربرانی که
گوشی آنها روت نشده، در معرض این خطر قرار ندارند؛ با جدا کردن باتری،
میتوانید از خاموش بودن گوشی اطمینان حاصل کنید. تاکنون حدود ۱۰ هزار
دستگاه به این بدافزار آلوده شده و بسیاری از این موارد در چین مشاهده شده
است. بدافزار PowerOffHijack از طریق این کشور در حال گسترش بین کاربران و
فروشگاههای اندرویدی است.
متاسفانه کمپانی AVG جزئیات بیشتری از ان بدافزار در دسترس قرار داده
است؛ هیچ توضیحی هم در خصوص نحوهی کشف شدن این بدافزار و عملکرد آن نیز
ارائه نکردهاند. اما کاملا واضح است که این بدافزار برای ربودن اطلاعات،
به دسترسی روت دستگاه نیاز دارد. در واقع با گشت و گذار در اینترنت، گوشی
به این بدافزار آلوده نمیشود. معمولا بسیاری از بدافزارها با نصب کردن
نرمافزارها با منابع ناشناس، کنترل گوشی را به دست میگیرند. خوشبختانه
این نوع بدافزارها در گوگلپلی وجود نداشته و از طریق SideLoading به گوشی
انتقال مییابند. SideLoading به روشی گفته میشود که فایلهای نصب
نرمافزارها در فرمت APK، از طریق کابل یواسبی، وایفای، بلوتوث و یا
کارت حافطه، به گوشی انتقال داده و آنها را نصب کنیم.
در دسترس نبودن گوگلپلی در کشور چین، دلیلی بر رسمی و معتبر بودن
فروشگاههای دیگر اندروید نیست. در حال حاضر مشکلات نرمافزاری اندروید
زیاد بوده و به نظر میرسد در مدت کوتاهی این مشکلات برطرف نشوند.