بدافزارهای اندروید با توانایی غیرفعالسازی وایفای و شنود پیامکهای گوشی شناسایی شدند
توسعهدهندگان بدافزار متمرکز بر پلتفرم اندروید باردیگر دست به کار شده و اپلیکیشنهایی طراحی کردهاند که ضمن غیرفعالکردن اتصال وایفای دستگاه، بهطور مخفیانه کاربران را در سرویسهای اشتراکی بیسیم گرانقیمت عضو و پیامهای متنی آنها را شنود میکند. تمامی این اقدامات تلاشی برای دریافت مبالغ سنگین از کاربران ناآگاه است.
طبق گزارش Ars Technica و بهنقل از بیانیهی مطبوعاتی مایکروسافت، تهدیدهای امنیتی اینچنینی سالها است که در پلتفرم اندروید دیده میشوند و نمونهی بارز آنها مجموعهای از بدافزارها هستند که با نام جوکر شناخته میشوند. بدافزار جوکر از سال ۲۰۱۶ تاکنون میلیونها گوشی هوشمند را تحتتأثیر قرار داده است. با وجود آگاهی از این مشکل امنیتی، به تکنیکهایی که بدافزارهای اینچنینی (دستهی Toll Fraud) از آن استفاده میکنند، کمتوجهی شده است. مایکروسافت بهتازگی این مشکل امنیتی را بهشکلی فنی و دقیق بررسی کرده است.
در این نوع از کلاهبرداری، از مکانیسمی به نام WAP (پروتکل کاربردی بیسیم) استفاده میشود. این پروتکل ابزاری را برای دسترسی به اطلاعات ازطریق شبکهی موبایل فراهم میکند. کاربران تلفنهای همراه میتوانند درحالیکه دستگاهشان به اینترنت سیمکارت متصل است، با مراجعه به وبسایت ارائهدهندگان این سرویسها مشترک آنها شوند.
کاربر در وبسایت این شرکتها روی گزینهای خاص کلیک میکند و گاهی اوقات اپراتور رمزعبور یکبارمصرف را ازطریق پیامک برای کاربر میفرستد و از او میخواهد رمزعبور را در سایت وارد کند تا روند اشتراک در سرویس تکمیل شود. هدف اپلیکیشنهای حاوی کد مخرب این است که گوشیهای هوشمند را بهصورت خودکار در این سرویسهای WAP مشترک کنند، بدون اینکه کاربر از آن اطلاع داشته باشد.
مایکروسافت میگوید محققانش با بررسی اپلیکیشنهای مختلف بدافزارهایی پیدا کردهاند که با انجام اقداماتی خاص، کاربر را بهصورت خودکار در سرویسهای WAP عضو میکنند. این اپلیکیشنها در ابتدا اتصال وایفای را غیرفعال میکنند یا منتظر میمانند تا کاربر سراغ اینترنت سیمکارت برود. سپس اپلیکیشنها بدون اطلاع کاربر وارد صفحهی خرید اشتراک میشوند، روی گزینهی خرید اشتراک کلیک میکنند، رمزعبور یکبارمصرف را رهگیری میکنند، آن رمز را برای ارائهدهندهی سرویس WAP میفرستند و درنهایت نوتیفیکیشن پیامک را غیرفعال میکنند. پس از انجام این مراحل، کاربر بدون اینکه خبردار باشد در یکی از سرویسهای WAP عضو شده است.
توسعهدهندگان بدافزار راهکارهای مختلفی دراختیار دارند تا گوشیهای هوشمند را حتی هنگام روشنبودن وایفای به استفاده از اینترنت سیمکارت مجبور کنند. در دستگاههای مجهز به اندروید ۹ و نسخههای قدیمیتر، توسعهدهندگان قابلیت setWifiEnabled
در بخش WifiManager
را فراخوانی میکنند. در اندروید ۱۰ و نسخههای جدیدتر، توسعهدهندگان سراغ قابلیت requestNetwork
در بخش ConnectivityManager
میروند. درنهایت، توسعهدهنده کاری میکند که گوشی دادهها را بهصورت اختصاصی ازطریق اینترنت سیمکارت بارگذاری کند.
مقالههای مرتبط:
- بدافزار جدید اندروید با دورزدن احرازهویت چندعاملی، گذرواژههای شما را بهسرقت میبرد
- بدافزار جدید اندروید با نام BRATA بعد از سرقت اطلاعات گوشی، آنها را بهکلی پاک میکند
- ۱۹۰ اپلیکیشن اندروید حاوی بدافزار تروجان ۹٫۳ میلیون بار روی دستگاههای اندرویدی نصب شده است
زمانی که گوشی به اینترنت سیمکارت متصل باشد، بدافزار بدون اطلاع کاربر صفحهی مرورگر را در پسزمینه باز میکند و وارد صفحهی سرویس WAP میشود و روی گزینهی خرید اشتراک کلیک میکند. مرحلهی تأیید نهایی اشتراک کمی دشوارتر میشود؛ چون درخواست تأیید ازطریق پیامک یا پروتکلهای HTTP و USSD ارائه میشود.
مایکروسافت روشهای مختلفی را اعلام کرده است که توسعهدهندگان میتوانند با اتکا به آنها درخواست ارسالشده ازطریق پیامک و HTTP و USSD را دور بزنند. ارائهدهندگان سرویس WAP بهصورت دورهای پیامکهایی برای کاربر میفرستند تا عضوشدن او در سرویس اشتراکی را اطلاعرسانی کنند. بهگفتهی مایکروسافت، بدافزارها حتی میتوانند این پیامکها را غیرفعال کنند.
پژوهشگران مایکروسافت میگویند: «این بدافزارها با عضوکردن کاربران در سرویسهای پریمیوم، ممکن است هزینهی قبض موبایل قربانیان را بهشدت افزایش دهند. دستگاههای تحتتأثیر قرارگرفته امنیت کمتری دارند؛ چون امکان تشخیص بدافزار وجود ندارد. ممکن است تعداد زیادی از کاربران این بدافزارها را قبل از حذفشدن نصب کنند.»
گوگل بهشدت در حال شناسایی بدافزارها در پلی استور است و هر زمان که تشخیص دهد اپلیکیشنی خاص از کد مخرب استفاده میکند، جلو انتشار آن را میگیرد. تجربه نشان میدهد اپلیکیشنهای مخرب معمولاً تا قبل از حذفشدن از پلی استور، میلیونها بار دانلود میشوند.