دستگاه‌های اندروید به هدف بدافزار جدید استخراج تبدیل شده‌اند

شرکت امنیت سایبری ترند میکرو (Trend Micro)، از کشف بدافزار استخراج ارز دیجیتال جدید خبر داد که دستگاه‌های اندروید آسیب‌پذیر را هدف قرار می‌دهد. این بدافزار بات‌نت از طریق درگاه ADB، سیستمی که برای حل نواقص و مشکلات برنامه‌ها در دستگاه‌های اندرویدی طراحی شده و به نوعی رابط بین دستگاه و کامپیوتر است، به دستگاه‌ها نفوذ می‌کند.

به گزارش وب‌سایت فایننس مگنیتز (Finance Magnates)، این بدافزار از طریق پروتکل امنیتی SSH یا همان پوسته ایمن (Secure Shell) گسترش می‌یابد. SSH به برنامه مخرب این امکان را می‌دهد که تمام دستگاه‌هایی که قبلا به میزبان آلوده متصل شده‌اند (چه گوشی تلفن همراه و چه دستگاه اینترنت اشیا) را تحت تاثیر قرار دهد.

بنا به گفته شرکت امنیت سایبری، این بدافزار توانسته دستگاه‌هایی در ۲۱ کشور را تحت تاثیر قرار دهد که در میان آن‌ها، کره جنوبی بالاترین درصد دستگاه‌های آلوده را داراست.

شرکت ترند میکرو این حمله را این‌گونه شرح داد:

ما متوجه شدیم که IP آدرس ۴۵.۶۷.۱۴.۱۷۹ به ADB دستگاه‌ها و یا سیستم‌های در حال اجرا متصل می‌شوند و سپس فعالیت‌های مختلف انجام می‌دهند.

این حمله با استفاده از پوسته فرمان ADB برای تغییر مسیر کار سیستم مورد حمله به «/data/local/tmp» آغاز می‌شود. علت تغییر مسیر این است که فایل‌های temp. معمولا به صورت پیش‌فرض مجوز اجرا شدن دارند و نیازی به اجازه کاربر ندارند.

این بدافزار سپس آرایه‌ای از دستورات را بر روی سیستم اجرا می‌کند تا استخراج را آغاز کند و خود را به‌گونه‌ای پنهان کند که شناسایی نشود.

این شرکت در ادامه توضیحات خود افزود:

این بدافزار، نوع سیستمی را که وارد آن شده است را تعیین می‌کند و همان‌طور که توسط دستور « uname –a» مشخص می‌شود آیا هانی‌پات (Honeypot) هستند یا خیر.

این بات از wget و یا کِرل(curl)، در صورت عدم وجود wget بر روی سیستم آلوده، برای دانلود پی‌لود (Payload) استفاده می‌کند. (در امنیت سایبری، پی‌لود، بسته‌ای از داده‌هاست که توسط یک بدافزار و از طریق وسایل یا شبکه‌های آسیب‌دیده، منتقل می‌شود.)

پس از آن، این بات دستور «chmod ۷۷۷ a.s» را برای تغییر تنظیمات اجازه پی‌لود دانلود شده، صادر می‌کند به این ترتیب به آن اجازه اجرا شدن می‌دهد.

در نهایت، زمانی که a.sh اجرا شد، با دستور « rm -rf a.sh*» حذف می‌شود تا مسیر آن پاک شود.

آیا کریپتو ربایی متوقف می‌شود؟

با فراگیر دارایی‌های دیجیتال، دزدیدن ارزهای دیجیتال یا کریپتوربایی در تمام دستگاه‌های دیجیتال در حال تبدیل شدن به امری رایج است. در سال ۲۰۱۸، شرکت امنیت سایبری مک‌آفی (McAfee) اعلام کرد که حملات مخرب دزدیدن ارزهای دیجیتال ۴,۰۰۰ درصد رشد داشته‌اند.

در اوایل ماه جاری، ترند میکرو URLی که برای گسترش بات‌نت استخراج مونرو مورد استفاده قرار گرفته بود و بسیار شبیه به بات‌نتی بود که توسط گروه هک Outlaw ساخته شده بود، را کشف و شناسایی کردند. این اتفاق‌ها نشان‌دهنده علاقه گروه‌های هک بدنام به ارزهای دیجیتال را نشان می‌دهد.

بر اساس گزارش فایننس مگنیتز در ماه گذشته، توسعه‌دهندگان بدافزار شل‌بات (Shelbot) به‌روز‌رسانی‌ای برای آن ارائه دادند تا بتواند تمام برنامه‌های دیگر روی دستگاه‌های آلوده را به منظور بهره‌وری بیشتر از توان پردازشی دستگاه برای استخراج استفاده کنند.