انتشار تروجان در نرم افزارهای موبایل از طریق کدهایQR
موسسه خبری سایبربان: کدهای QR نوعی رمزینهی ماتریسی هستند که در ژاپن ابداع شده و در مدت کوتاهی استفاده از آنها همهگیر شد. سادگی ارتباط با مشتریان از طریق QR سبب شد تا شرکتهای بزرگ و کوچک هم خیلی زود بخش مهمی از تبلیغات خود را از طریق این کدها انجام دهند.
حتی فیسبوک در استفاده از این کدها تا آنجا پیش رفت که کارکنانش تصمیم گرفتند بام یکی از ساختمانهای اصلی این شرکت را با یک کد QR غولآسا تزیین کنند. اما این فناوری هم مانند بسیاری از فناوریهای نوین دیگر توجه نفوذگران را به خود جلب کرده و برای حمله به کاربران مورد استفاده قرار گرفت. نفوذگران با استفاده از این کدها کاربران را به وبگاههای آلوده هدایت میکنند.
محققین AV Labs به تازگی دامنهای با نشانی htc-apps.biz را شناسایی کردهاند که نرمافزارهای اندرویدی قلابی را میزبانی میکند. این وبگاه روسی مانند اکثر وبگاههای مخربی که از این کشور اداره میشوند بخشی اختصاصی برای دریافت بازی دارد. کاربرانی که به صفحهی بازیهای این وبگاه مراجعه میکنند به همراه مشخصات بازی یک کد QR را هم در پایین صفحه مشاهده خواهند کرد؛ این کد کاربران را به یک صفحهی قلابی جهت دریافت بازی هدایت میکند. محققین شرکت AV Labs در بررسی خود به صفحهی بازی Angry Birds Space هدایت شدند که حاوی یک پروندهی نصبی آلوده است.
جالب است بدانید که با یک IP بیش از دوبار نمیتوان به این پروندههای آلوده دست یافت. همچنین نفوذگرانی که این حمله را طراحی کردهاند تصمیم گرفتهاند تا این پروندهها را فقط برای بازدیدکنندگان کشورهایی خاص در دسترس قرار دهند و اگر از کشور دیگری باشید نمیتوانید به آنها دسترسی بیابید و به صورت خودکار به وبگاه گوگل هدایت میشوید. در صورت مراجعه به نشانی مذکور پروندهی مخرب APK بدون آنکه از کاربر اجازه بگیرد در سامانه بارگیری میشود.
تا کنون AV Labs نشانیهای زیر را با کد QR مخصوص هر یک شناسایی کرده و در مورد مراجعه به آنها به کاربران هشدار داده است:
پروندههای APK مذکور همگی حاوی یک پروندهی DEX مشترک با نام classes.dex هستند (MD5 9ba7df3a7cd132c4bb0e3ef215100580). این پرونده در ضدبدافزارهای موبایل با نام Trojan.AndroidOS.Generic.A شناسایی میشود که در اصل یکی از ویرایشهای مختلف Boxer است. این تروجان پس از اجرا شدن با سه کارگزار فرماندهی و کنترل ذیل ارتباط برقرار میکند:
oxclick(dot)com
mobiozone(dot)net
qpclick(dot)com
این کارگزارها پیامکهایی را به شمارههای خاص میفرستند تا ببینند کاربر برای هر پیامک چه هزینهای پرداخت میکند. همچنین کارگزارهای مذکور میتوانند در صورت نیاز نشانی معتبری را برای دریافت بازیهای مورد علاقهی کاربران در اختیارشان قرار دهند. به کاربران توصیه میشود تا به هنگام بازدید از وبگاههای مدعی عرضه رایگان محصولات رایگان اندرویدی کاملاً جانب احتیاط را رعایت کنند و تا مطمئن نشدهاند نرمافزاری را دریافت نکنند. همچنین برای اطمینان از سالم بودن کدهای QR میتوانید تصویری از آن را نخست در وبگاههای متعددی که برای این کار وجود دارد مانند Zxing Decoder بارگذاری کرده واطلاعات کامل آن را دریافت کرده و پس از اطمینان کامل از آنها استفاده کنید.
حتی فیسبوک در استفاده از این کدها تا آنجا پیش رفت که کارکنانش تصمیم گرفتند بام یکی از ساختمانهای اصلی این شرکت را با یک کد QR غولآسا تزیین کنند. اما این فناوری هم مانند بسیاری از فناوریهای نوین دیگر توجه نفوذگران را به خود جلب کرده و برای حمله به کاربران مورد استفاده قرار گرفت. نفوذگران با استفاده از این کدها کاربران را به وبگاههای آلوده هدایت میکنند.
محققین AV Labs به تازگی دامنهای با نشانی htc-apps.biz را شناسایی کردهاند که نرمافزارهای اندرویدی قلابی را میزبانی میکند. این وبگاه روسی مانند اکثر وبگاههای مخربی که از این کشور اداره میشوند بخشی اختصاصی برای دریافت بازی دارد. کاربرانی که به صفحهی بازیهای این وبگاه مراجعه میکنند به همراه مشخصات بازی یک کد QR را هم در پایین صفحه مشاهده خواهند کرد؛ این کد کاربران را به یک صفحهی قلابی جهت دریافت بازی هدایت میکند. محققین شرکت AV Labs در بررسی خود به صفحهی بازی Angry Birds Space هدایت شدند که حاوی یک پروندهی نصبی آلوده است.
پروندههای APK مذکور همگی حاوی یک پروندهی DEX مشترک با نام classes.dex هستند (MD5 9ba7df3a7cd132c4bb0e3ef215100580). این پرونده در ضدبدافزارهای موبایل با نام Trojan.AndroidOS.Generic.A شناسایی میشود که در اصل یکی از ویرایشهای مختلف Boxer است. این تروجان پس از اجرا شدن با سه کارگزار فرماندهی و کنترل ذیل ارتباط برقرار میکند:
oxclick(dot)com
mobiozone(dot)net
qpclick(dot)com
این کارگزارها پیامکهایی را به شمارههای خاص میفرستند تا ببینند کاربر برای هر پیامک چه هزینهای پرداخت میکند. همچنین کارگزارهای مذکور میتوانند در صورت نیاز نشانی معتبری را برای دریافت بازیهای مورد علاقهی کاربران در اختیارشان قرار دهند. به کاربران توصیه میشود تا به هنگام بازدید از وبگاههای مدعی عرضه رایگان محصولات رایگان اندرویدی کاملاً جانب احتیاط را رعایت کنند و تا مطمئن نشدهاند نرمافزاری را دریافت نکنند. همچنین برای اطمینان از سالم بودن کدهای QR میتوانید تصویری از آن را نخست در وبگاههای متعددی که برای این کار وجود دارد مانند Zxing Decoder بارگذاری کرده واطلاعات کامل آن را دریافت کرده و پس از اطمینان کامل از آنها استفاده کنید.
