بدافزارهای از پیش نصب شده Triada و xhelper تاکنون در مجموع 19.2 میلیون تراکنش مشکوک را در بیش از 200000 تلفن استفاده شده یا تازه خریداری شده، انجام دادهاند.
هیچ چیز نگران کنندهتر از تهدیدات سایبری و فعالیتهای مشکوک غیر قابل کشف در دستگاههای شخصی شما نیست. اما آنچه که درحال حاضر مورد توجه قرار میگیرد، بدافزار از پیش نصب شدهای است که تلفنهای همراه ارزانی که به طور خاص برای اقشار ضعیف تر جامعه تولید شده اند را هدف قرار داده است.
طبق سامانه امنیتی شرکت Upstream که Secure-D نامیده میشود، یک تولید کننده چینی به نام Transsion، تلفنهای هوشمند اندرویدی ارزان تولید میکند که مملوء از بدافزارهای از پیش نصب شده است که کاربران را بدون اطلاع و اجازه آنها در سرویس هایی ثبت نام میکند.
پس از بررسی کامل Secure-D، تراکنشهای زیادی را که متعلق به گوشی Techno W2 بود، مسدود کرد. این شرکت بازارهای نوظهور به ویژه اتیوپی، مصر، آفریقای جنوبی و غنا را هدف قرار داد.
علاوه بر این، محققان امنیتی در 14 مکان دیگر تراکنشها و فعالیتهای جعلی این دستگاه را رهگیری کرده اند اما این فقط یک نقطه کوچک است. این گوشیهای حامل بدافزار در مجموع 19.2 میلیون تراکنش را در بیش از200 هزاردستگاه منحصر به فرد که شامل گوشیهای دست دوم یا تازه خریداری شده بودند را ثبت کردهاند.
تجزیه و تحلیل بیشتر، محققان امنیتی را بر آن داشت تا اعلام کنند که این مشکل از بدافزار از پیش نصب شده Triada است، که به واسطه خرابکاری قبلی نیز بسیار مشهور است. این موضوع به دلیل اینکه از آسیب پذیرترین بخش بهره برداری میکند، بسیار ناراحت کننده است. کسانی که به طور متوسط کاربران موبایل هستند، به دنبال امکانات مقرون به صرفه هستند.
بدافزار Triada اساساً به عنوان یک نرم افزار پنهان عمل میکند. همچنین این قابلیت را دارد که پس از دریافت دستورات از سرور کنترل از راه دور، کد مخرب را اجرا کند. در این مورد، با این وجود، سرورهای فرمان و کنترل توسط عوامل Tware Malware مورد استفاده قرار گرفتند.
بررسی و تحلیل ترافیک مرتبط نشان داد که این دستگاه ها به چندین دامنه مخرب دسترسی دارند که به عنوان سرورهای فرماندهی و کنترل مورد استفاده نویسندگان بدافزار Triada قرار گرفته اند. هیچ یک از میزبانهای اینترنتی که به بدافزار متصل میشوند به تولید کننده مرتبط نبودند. علاوه بر این، این بدافزار به دلیل انعطاف پذیری خود و به دلیل اینکه مخفیانه درون اجزای سیستم پنهان میشود و با چشم غیر مسلح قابل مشاهده نیست، شناخته شده است. با این وجود، حذف بدافزارهزینه بر است چه رسد به اینکه یک کاربر معمولی یا به احتمال زیاد تحصیل نکرده آن را مدیریت کند.
بررسی دقیق تر محققان نشان داد که Triada، دومین بدافزار را نیز به نام xhelper دانلود کرده است. بدون هیچ اطلاعی، با کمک این بدافزارها، ماژولهایی ایجاد میشود که از طریق تبلیغات سرویسهای اشتراکی کلاهبرداری مینمایند. در این مورد، xhelper در 53000 تلفن هوشمند Transsion’s Tecno W2 یافت شد.
هنگامی که وجود این بدافزار در یک شبکه آفریقای جنوبی آزمایش شد، xhelper دستوراتی را وقفه انداخت و اهداف جدیدی پیدا کرد. همچنین به طور خودکار به جای کاربران برای فعالیتهای متقلبانه درخواست اشتراک میکرد. همه اینها بدون اجازه یا تأیید کاربر اتفاق میافتد. حتی در صورت شناسایی، Xhelper با ریستهای متعدد، بازنشانی کارخانه یا حذف برنامهها، مدیریت آن را بسیار دشوار میکند.
Secure-D در پست وبلاگ خود در این باره گفته است: دو بدافزار Triad و xhelper، اجزای مخرب را در یک فهرست غیرقابل حذف ذخیره میکنند و ماهیتی پایدار دارند. محققان Secure D همچنین مشخص کردند که یکی از این برنامهها در واقع دانلود شدهاند و از قبل نصب نشدهاند.
محققان Secure-D در یک دستگاه درحالی که آفلاین بود، سه بدافزار زیر را حذف نمودند:
com.mufc.umbtts , com.comona.bac , com.mufc.firedoor
تقریبا 5 دقیقه بعد و بدون اتصال به اینترنت، هر 3 برنامه به طور خودکار دوباره نصب شدند.
سال گذشته نیز xhelper تعداد حیرت انگیز 45000 تلفن اندرویدی را آلوده کرد. اساساً، مهاجمان از قابلیت ذاتی اندروید یعنی نصب برنامههای شخص ثالث از طریق فایلهای APK به جای فروشگاه Google Play استفاده کردند.
این فرآیند معمولاً به عنوان دانلود جانبی شناخته میشود که یک حفره بزرگ برای بهره برداری از تهدیدها ایجاد میکند. با این حال، پس از انجام این کار، کاربران با برنامههای پاپ آپ و اعلانهایی برای دانلود فایلها و برنامههای دیگر نیز درگیر شدند.
پیش از این نیز گوگل فاش کرده بود که تهدیدگران، تلفنهای اندرویدی را مشابه این مورد با استفاده از Triada به خطر انداخته بودند. این بدافزار به دلایلی از قبیل: دانلود اجزای مخرب اضافه که اطلاعات حساس برنامههای بانکی را میدزدند، چتها را شنود میکنند و پیامها را از پیام رسانها یا شبکههای اجتماعی رهگیری میکنند و همچنین جاسوسی سایبری، مشهور است.