گوشیهای حمایتشده کمیسیون فدرال ارتباطات، مخرب از آب درآمدند!
طبق گفتههای محققین، گوشیهای موبایل کمهزینه و حمایتشده توسط دولت با بدافزارهای از پیشنصبشده درشان عرضه شده و کاربران را با آگهیهای تبلیغاتی ناخواسته بمباران کردهاند. ظاهراً این گوشیِ اندرویدیِ UMX U686CL -که تحت طرح کمکی کمیسیون فدرال ارتباطاتِ[1] Lifeline در اختیار شهروندان آمریکاییِ کمدرآمد به قیمت 35 دلار قرار داده شد- از اپی به نام Settings استفاده میکرده است؛ اپی که به نقل از محققین در واقع یک تروجانِ دراپر بوده است. طبق گفتههای ناتان کولیر، محقق شرکت Malwarebytes کار این اپ در حقیقت گرفتن و نصب سایر اپها یا بدافزارهاست.
متأسفانه، برای آن دسته از افرادی که در Lifeline ثبتنام کردند، اپ Settings حذف نمیشود. دلیلش هم این است که اپ Settings الزامی است و به کاربر، دسترسی به بخش تنظیمات هستهای گوشی را میدهد. در نتیجه، اگر این اپ از حالت نصب خارج شود (uninstall) دستگاه دیگر هیچ کاراییای نخواهد داشت.
کولیر در پستی اینطور نوشت: «کد مذکور به شدت مبهمسازی شده است. ما این بدافزار را Android/Trojan.Dropper.Agent.UMX شناسایی کردهایم». او همچنین افزود که جزئیات اجرایی آن تا حد زیادی به جزئیات اجرایی و فنی یک تروجان دراپر موبایل دیگر شباهت دارد که در نوع مدل متغیر ALReceiver و ALAJobService ارائه میشود. بر اساس این تحلیل، «تنها تفاوت بین این دو کد، نام مدلهای متغیرشان است». در اصل بنیادیشان، هر دو دراپر یک رشتهی کدسازیشده در کدشان دارند که وقتی کدگشایی شوند فایل آرشیو پنهانشدهای را به نام com.android.google.bridge.LibImp. نمایان میکنند. این آرشیو وقتی کدگشایی میشود -با استفاده از کدگشایی Base64- به کمک DexClassLoader در حافظه لود میشود. و وقتی آرشیو در حافظه ذخیره شده، دراپر با نصب یک تکه بدافزار دیگر رسالت خود را به پایان میرساند- در مورد UMX U686CL این بدافزار یک اپ آگهیِ مخرب موسوم به HiddenAds است.
به گفتهی کولیر، مشتریان Malwarebytes خود تأیید کردند که اپی به نام HiddenAds ناگهان روی گوشیهایشان ظاهر شده است. بعد از نصب روی دستگاه، آگهیهایی به صورت تمامصفحه به طور دورهای کاربر را گیر میانداختند.
Wireless Update
اپِ از پیشنصبشدهی نگرانکنندهی دیگری نیز وجود دارد که نامش Wireless Update است. این اپ نیز کارکردش به خودی خود، قانونی تلقی میشود (دریافت و نصب آپگریدهای بیسیمِ سیستمعامل برای گوشی) و البته کار خود را به طور خودکار انجام میدهد. با این وجود، همچنین به طور خودکار بدون رضایت کاربر سایر اپها را دریافت و نصب میکند.
کولیر: «از لحظهای که به دستگاه موبایل خود لاگین میشوید، Wireless Update شروع میکند به نصب خودکار اپها. برای انجام این کار، رضایت هیچ کاربری جلب نشده است و همچنین هیچ دکمهای هم برای تأیید این نصبها وجود ندارد؛ تنها به خودی خود شروع میکند به نصب اپها».
این اپها تاکنون بدون بدافزار بودهاند اما قابلیتهایشان به طور آشکارا دری باز کرد تا بدافزار با خود تأثیرات مخربش را وارد آنها کند. چیزی که این نگرانی را دوچندان میکند این است که کد Wireless Update درست مثل کد استفادهشده توسط بدافزایست ساخت شرکت به نام Adups Technology. کولیر: «Adups یک شرکت چینی است که حین جمعآوری اطلاعات کاربری دستگیر شد. این شرکت داشت برای دستگاههای موبایل بکدر میساخت و بله، داشت در حقیقت اینستالرهای خودکار درست میکرد».
بر اساس تحقیقات قبلی، اپ Adups در گذشته حین نصب HiddenAds و سایر تروجانها روی دستگاههای قربانی مچش گرفته شد. شرکت Adups قبلاً سر اعتراف BLU Products، شرکت تولیدکنندهی گوشیهای اندرویدی مبتنی بر اشتراکگذاری کلی اطلاعات (شامل پیامهای متنی کاربرانش، اطلاعات لوکیشن برج سلولی در لحظه، لاگهای پیام متنی، فهرست کانتکتها و اپلیکیشنهای استفادهشده و نصبشده روی دستگاهها) با این شرکت زیر نظر قرار گرفته بود. Wireless Update میتواند uninstall شود اما کاربران در نهایت مشکلات امنیتیشان هیچگاه رفع نمیگردد.
چه کسی مسئول است؟
کولیر با بررسی نحوهی ورود این بدافزار به گوشیهای مذکور فقط به بنبست و عدم مسئولیتپذیری رسید. چین کشوریست که این گوشیها در آن تولید شدند و کد اپِ این دراپر نیز توسط مسئولین چینی ساخته شده است. طبق تحقیقات: «اکثر انواع قابلتشخیصِ این بدافزار دارند کاراکترها را به زبان چینی استفاده میکنند». بنابراین، میشود فرض را بر این داشت که اصلیت این بدافزار برای چین است. این خود سوالی ایجاد میکند: آیا دراپر جایی در راستای زنجیره تأمین (در طول روند تولید در آسیا) بدون آنکه تولیدکننده حتی روحش هم خبر داشته باشد تزریق شده بوده است یا نه.
سال گذشته گوگل افزایش میزان اقدامات مخرب عاملین را برای کاشت اپهای (به طور بالقوه) آسیبرسان روی دستگاههای اندرویدی گزارش داد. گوگل در تحلیل سالانهی حریمشخصی و امنیت اندروید خود در سال 2018 چنین گفت: «عاملین مخرب، تلاشهای خود را برای جاساز کردن PHAها در زنجیره تأمین –با استفاده از دو نقطه ورود اصلی- مضاعف کردند: دستگاههای جدیدی که با PHAهای از پیشنصبشده فروخته شده بودند و آپدیتهای OTA (بیسیم) که در خود به صورت قانونی آپدیتهای سیستم به همراه PHAها را داشتهاند».
«توسعهدهندگان PHAهای از پیشنصبشده تنها باید تولیدکنندهی دستگاه و یا شرکتی دیگر در زنجیره تأمین را به جای تعداد زیادی کاربر فریب میدادند؛ بنابراین خیلی راحتتر توانستند به توزیع در مقیاس بزرگ دست یابند». کولیر از شرکت Malwarebytes گفت نتوانسته اینکه شرکت خود آگاه از چنین بدافزارِ از پیشنصبشدهای بوده است یا نه تأیید کند. در مورد Wireless Update احتمال میدهیم شرکت انتخاب کرده بوده برای این قابلیت کار را با کد Adups جلو ببرد اما دوباره بگوییم- این هنوز تأیید رسمی نشده است. در عین حال، گوشی مارک Virgin دارد و توسط Assurance Wireless توزیع شده است. Assurance Wireless خود ارائهدهندهی خدمات تلفن همراه فدرال Lifeline است که کارش عرضهی گوشی و دادهها به مشتریان واجد شرایط است. این گوشی تحت طرح مذکور که حامیاش دولت 35 دلار قیمت دارد.
کولیر میگوید: «ما به Assurance Wireless در مورد یافتههای خود اطلاع دادیم و از آنها پرسیدیم چرا یک کریر موبایل که دولت آمریکا آن را حمایت مالی میکند دارد دستگاه موبایلی میفروشد که در خودش به طور از پیشنصبشدهای بدافزار دارد؟ با اینکه زمان خوبی برای جواب دادن بهشان دادیم اما هرگز پاسخمان را دریافت نکردیم».
سناریویی قدیمی
بدافزارهای از پیشنصبشده و اپهای ناخواسته پدیدهی تازهای نیستند، این سناریوها دیگر قدیمی شدند. بعنوان مثال، در طی بررسی خرابیهای بدافزار روی گوشیهای مارک BLU، پی بردیم بسیاری از گوشیها همراه با بدافزارهای از پیشنصبشده بودند و همچنین از طریق یک ابزار آپدیت طرفسوم بدافزارهای بیشتری را نیز دانلود کردهاند. اگر این کار تعمدی بود باشد عواقبش گریبان تولیدکنندهها را خواهد گرفت. برای مثال، لنوو این غول چینیِ تولیدکنندهی پیسی سر پیشلود کردن کد Superfish در سال 2014 حسابی به دردسر افتاد.
[1] Federal Communications Commission
منبع: کسپرسکی آنلاین
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛
- ۹۸/۱۰/۲۴