ايتنا - نحوه عملکرد بدافزار‌های تلفن همراه

رشد سریع بدافزار در گوشی‌های تلفن همراه در چند سال اخیر، حاکی از میزان اهمیت تهدیدات و مخاطرات آن برای اهداف کسب و کار و همچنین کاربران خانگی است.

به گزارش ایتنا از ایسنا، یک شرکت امنیتی اعلام کرده بود که تعداد بد‌افزار‌ها در انواع سیستم عامل‌های موبایل نسبت به چند سال گذشته، ۱۵۵ درصد افزایش داشته است.
افزایش نرم‌افزار‌های مخرب در گوشی‌های تلفن همراه و سوء‌استفاده‌های مربوط به آنها و همچنین نحوه‌ استفاده افراد از آنها موجب افزایش شدید تعداد بدافزار‌ها شده است.

با توجه به این‌که امروزه کاربران زیادی از گوشی‌های هوشمند و تبلت‌ها استفاده کرده و میلیون‌ها نرم‌افزار برای کاربرد‌های مختلفی از قبیل بازی، سرگرمی، رسانه‌های اجتماعی و نقل و انتقالات بانکی نصب می‌شوند، بسیاری از مهاجمان سایبری توجه خود را به این‌گونه فعالیت‌ها معطوف کرده‌اند.

انواع بدافزار‌های گوشی‌های تلفن همراه
اکثر نرم‌افزار‌های مخرب گوشی‌های همراه و تبلت‌ها را می‌توان در دو دسته جاسوس‌افزار‌ها (spyware) و تروجانهای پیامک (sms trojans) طبقه‌بندی کرد. با این‌که طراحی این‌ دو گونه بد‌افزار از پایه متفاوت است، اما کلاهبرداری مالی مهم‌ترین انگیزه برای اینگونه حملات است.

جاسوس‌افزار‌ها (Spyware):
بنابر یافته‌های شرکت‌های امنیتی جاسوس‌افزار‌ها، گونه غالب تاثیر‌گذار با احتساب ۶۳ درصد از نمونه‌های شناخته شده در گوشی‌های اندروید است. جاسوس‌افزار نوعی برنامه‌ی نرم‌افزاری مخرب با قابلیت ضبط و انتقال اطلاعات از قبیل مختصات GPS، نوشته‌ها یا تاریخچه مرورگر است که بدون اطلاع کاربر، به فعالیت‌های خود ‌می‌پردازد.
اطلاعات به سرقت رفته، موجب ایجاد زمینه‌ای برای مهاجمان جهت سوء استفاده مالی و ضرر و زیان کاربر شده و در نهایت باعث از بین رفتن محرمانگی اطلاعات کاربران می‌شود.

تروجان‌های پیامک (SMS Trojans):
تروجان پیامکی بنابر تحقیقات شرکت‌های امنیتی، در حدود ۳۶ درصد از بد‌افزار‌های شناخته شده گوشی‌های همراه را تشکیل می‌دهند. این بد‌افزار‌ها به‌طور مخفیانه در پس زمینه‌ی برنامه‌ها قرار گرفته و به ارسال پیوسته پیامک متنی به شماره های ویژه می‌پردازد.

این شماره‌های ویژه غالبا مربوط به سرویس‌هایی است که با هماهنگی اپراتور سرویس‌دهنده‌ی تلفن همراه با دریافت پیامک از کاربر، مبلغی از فرستنده پیامک کاسته و به حساب مالک شماره ویژه انتقال می‌دهد.

هنگامی که پیامک ارسال می‌شود هزینه قابل برگشت نیست و گیرندگان آن نیز ممکن است ناشناس باشند. مثال‌هایی از این‌گونه پیامک‌ها در بخش نصب‌کننده‌های جعلی (fake installers) آورده شده است.

مشکوک، نه مخرب!
علاوه بر برنامه‌های مخرب که هدف آنها به وضوح سرقت اطلاعات یا کلاهبرداری مالی از قربانیان است، شرکت‌های امنیتی تعداد زیادی از برنامه‌های مشکوکی را شناسایی کرده‌اند که می‌توانند اطلاعات غیرضروری را در اختیار شخص ثالثی قرار داده و نگرانی‌های امنیتی به وجود آورند.

پس از بررسی تعدادی از این‌گونه برنامه‌ها مشخص شد که اطلاعات جمع‌آوری شده و درخواست مجوز‌های این برنامه‌ها بیش از حد گسترده، مشکوک و یا غیراخلاقی بودند.

در ذیل برخی از اختیاراتی را که این برنامه‌ها از سیستم عامل درخواست کرده بودند و میزان خطر آنها ذکر می‌شود:

۳۰ درصد از برنامه‌ها دارای قابلیت به دست آوردن موقعیت گوشی همراه بدون رضایت و اطلاع کاربر بوده‌اند.

۱۴.۷ درصد از برنامه‌ها درخواست مجوز‌هایی را داشته که منجر به برقراری تماس‌های تلفنی از گوشی همراه کاربر بدون اطلاع و رضایت وی شده است.

شش درصد از برنامه‌ها قابلیت جست‌وجوی کلیه‌ی حساب‌های کاربری موجود روی گوشی‌های تلفن همراه از قبیل پست الکترونیکی و شناسه کاربری وب سایت شبکه‌های اجتماعی را درخواست کرده‌اند.

۴.۸ درصد از برنامه‌ها دارای قابلیت ارسال پیامک متنی بدون اطلاع و اختیار کاربر ارسال بوده‌اند.

اندروید گوگل: مزایا و خطرات ناشی از محبوبیت
رشد سریع پذیرش سیستم عامل اندروید گوگل در چند سال گذشته آن را در بین سایر سیستم عامل‌های گوشی‌های همراه به قدری محبوب کرده است که از زمان انتشار آن یعنی از سال ۲۰۰۷ تا نوامبر ۲۰۱۱، توانسته حدود ۴۶.۹ درصد از بازار گوشی‌های تلفن همراه را به خود اختصاص دهد.
به علاوه طبیعت متن باز آن استفاده از اندروید را برای توسعه‌دهندگان بسیار آسان و سریع کرده است.

در هفت ماهه‌ی اول سال ۲۰۱۱، تنها با احتساب‌ نمونه‌های شناسایی شده شرکت Juniper اعلام کرد که بد‌افزار‌هایی که هدف آنها سیستم عامل اندروید بوده ۳۳۲۵ درصد رشد داشته و از ۴۰۰ نمونه در ابتدای سال به ۱۳۳۰۲ نمونه در ماه هفتم رسیده است.

طبق آمار جهانی، یک رابطه مستقیم، بین محصول غالب و جرائم سایبری وجود دارد. درست مانند ویندوز مایکروسافت که در بین سیستم‌ عامل‌های کامپیوتری سهم غالبی در بازار دارد و آن را به شدت مورد هدف بد‌افزار‌ها قرار داده است. به‌طور مشابه هم‌اکنون همین وضعیت در گوشی‌های تلفن همراه مبتنی بر اندروید گوگل ایجاد شده است.

نوع دیگری از حملات مبتنی بر اندروید استفاده از مدل بازار برنامه باز (Open application marketplace) اندروید است که دسترسی مهاجمان جهت رسیدن به قربانیان بالقوه را بسیار ساده‌تر می‌کند. در حال حاضر توسعه‌دهندگان می‌توانند برنامه‌ی خود را بدون آنکه مورد بازرسی قرار بگیرند به Official Android Market، ارسال کنند.

اگرچه گوگل در حذف برنامه‌های آلوده به سرعت اقدام می‌کند ولیکن ممکن است که روند شناسایی اینگونه بدافزار‌ها چند روزی طول بکشد.

در واقع پیچیده‌ترین مشکل امنیتی برای گوشی‌های اندروید، قابلیت بارگذاری آزادانه برنامه‌ها توسط کلیه‌ی افراد است.

علی‌رغم این‌که این مساله انعطاف‌پذیری گوشی همراه را بالا می‌برد، برنامه‌های غیرقانونی و یا مخرب نیز ممکن است بارگذاری شوند. برخلاف بازار رسمی اندروید در دیگر فروشگاه‌های نرم‌افزار که عمدتا در اروپای شرقی و چین قرار دارند تقریبا هیچ تلاشی در جهت پاکسازی بدافزارهای شناخته شده به عمل نمی‌آید.

پلت‌فرم بلکبری دیگر انواع سیستم عامل‌ها
بر اساس اطلاعات سایت ماهر که این گزارش برگرفته از آن است، طبق تحقیقات به عمل آمده در شرکت‌های امنیتی مشخص گردید رشد بدافزار‌ها در سیستم عامل‌های بلک‌بری شرکت RIM، Symbian نوکیا و دیگر سیستم عامل‌ها روند صعودی داشته است.

یکی از این بدافزار‌ها که به خصوص برروی سیستم عامل‌های بلک‌بری شناسایی شد تروجان zeus بود که با به دست آوردن اطلاعات مالی کاربر اقدام به برقراری ارتباط آنلاین بانکی غیرمجاز و دسترسی به حساب اعتباری قربانیان می‌کرد.

به‌طور مشابه برای دیگر سیستم عامل‌ها نیز همچنان بدافزار‌ها یک تهدید به حساب آمده و تعداد آنها در حال افزایش می‌باشد، هر چند که دارای نرخ رشد کمتری نسبت به بد‌افزار‌های گوشی‌های اندروید هستند.

حملات تلفن همراه و پیچیده‌تر شدن آسیب‌پذیری‌های آنها:
علاوه بر افزایش تعداد بد‌افزار‌ها، شرکت‌های امنیتی دریافتند که بد‌افزار‌های پیچیده‌تر در سال ۲۰۱۱ به‌طور قابل ملاحظه‌ای رشد یافته‌اند. برای مثال در ماه مارس، بد‌افزاری قادر بود از طریق آسیب‌پذیری‌های موجود در پلتفرم، ۸۵ درصد گوشی‌های همراه اندروید به ویژه نسخه ۲.۲.۲ یا نسخه‌های قبل از این سیستم عامل را آلوده کند.

این‌گونه آسیب‌پذیری‌ها، به همراه بدافزار‌ها، مهاجمان را قادر می‌سازد تا اختیارات سطح root را به دست آورده و بسته‌های اضافی را نصب کنند تا حوزه عملکرد حمله توسعه یابد. در ذیل به بررسی نمونه‌هایی از این حملات می‌پردازیم:

اولین بد‌افزاری بود که به صورت یک بوت نت از طریق بازی‌های نصب شده بر روی گوشی‌های اندروید عمل نمود. در ماه مارس بد‌افزار Deroid Dream برنامه‌های قانونی در بازار اندروید بیش از ۵۰۰۰۰ کاربر را با استفاده از آسیب‌پذیری‌های موجود در سیستم عامل اندروید، آلوده کرد.

بدافزار Deriod از دو اکسپلویت متفاوت که دسترسی کامل به گوشی‌های اندروید را از طریق Payload ‌های رمز شده که توسط موتورهای جست‌وجوی بدافزار هم قابل آشکارسازی نبود استفاده می‌کرد که در نتیجه این حمله دسترسی و کنترل کامل گوشی در اختیار مهاجمان قرار می‌گرفت.

بدافزار ADRD به آدرس‌های خاصی از روی تجهیزات اندروید درخواست‌های جست‌وجوی http را ارسال می‌کرد که باعث افزایش رتبه برخی سایت‌ها شده بود.

آسیب‌پذیری‌های Apple ios
با این‌که نرم‌افزار‌های آلوده بر روی سیستم عامل ios در بخش وسیعی به علت محدود بودن بازار نرم ‌افزار‌های کاربری و مدل نمایش سخت‌گیرانه اپل بسیار بسته است ولی ضرورتا آن را نمی‌توان بسیار ایمن در نظر گرفت. برای نمونه زمانی‌که یک کاربر با انجام Jailbreak محدودیت‌هایش را روی سیستم عامل از بین می‌برد، دستگاه بستر بسیار مناسبی برای دانلود برنامه‌های آلوده از منابع دیگر خواهد بود.

علاوه بر این هیچ محصول امنیتی واقعی برای پلت‌فرم ios وجود ندارد، چرا که شرکت اپل این امکان را برای توسعه‌دهندگان جهت ساخت ابزار‌های امنیتی فراهم نمی‌کند. این ضعف حفاظتی در نرم‌افزار و بازار رقابتی امنیت، کاربران را با حفاظت کمی روبه‌رو می‌کند، در صورتی که بدافزاری بخواهد از طریق بررسی نرم‌افزار اپل به آن نفوذ کند. در دراز‌مدت، این می‌تواند موجب ایجاد یک حس کاذب امنیت برای کاربران اپل و اثبات خطر بزرگ‌تری از مدل باز اندروید می‌شود.

خطرات جیلبریک:

تعداد زیادی از وب‌سایت‌ها مانند jailbreak Me وجود دارند که به کاربران این امکان را می‌دهد تا به آسانی با استفاده از آسیب‌پذیری‌های ios تجهیزات اپل را جیل بریک کنند که در نتیجه این اجازه به شخص حمله‌کننده داده می‌شود که نرم‌افزار‌های مخرب را بر روی گوشی کاربران نصب کند.

به هرحال جیل بریک بسیار عمومیت یافته است و سایت‌های سوء‌استفاده‌گری وجود دارند که گوشی‌های تلفن همراه را jailbraking کرده‌اند و در نهایت به عنوان بخشی از کار خود بدافزاری را به جا گذارند.

هشداری برای Applicarion store‌ها:
در اواخر سال ۲۰۱۱، یک محقق امنیتی به نام چارلی میلر، هنگام بررسی برنامه‌های اپل، تکنیکی را کشف کرد که از طریق آن امکان آپلود برنامه‌های غیرمجاز بر روی App Store میسر می‌گردید. او موفق به شناسایی آسیب‌پذیری در محدودیت‌های Signing- code شد که جهت محدود‌کردن کد‌ها توسط اپل در تجهیزات ios استفاده می‌گردید و به وسیله آن اجرای برنامه‌ها بدون اطلاع کاربر صورت می‌گرفت. پس از انتشار آسیب‌پذیری مذکور شرکت اپل نسبت به رفع نقیصه اقدام کرد.

علی‌رغم آنکه توانایی مهاجمان سایبری در گسترش حملات مشابه روز به روز در حال افزایش است و طبیعت بسیار محدود پلت فرم ios و App Store کاربران در معرض خطر جدی سایبری قرار می‌دهد، ولی شرکت اپل از توسعه برنامه‌های ضد بد‌افزار برای دستگاه‌های خود جلوگیری می‌نماید که این مساله باعث ایجاد محدودیت‌هایی در بازار امنیت سیستم‌های عامل خواهد شد. به این ترتیب امنیت پایینی بر روی سیستم‌های عامل گوشی‌های همراه برای کاربران در مقابل شیوع‌ بالقوه نرم‌افزار‌های مخرب وجود خواهد داشت.

حملات مستقیم:
حملات مستقیم شامل یک سیستم حمله‌کننده و کاربری است که اعمالی را برای سوء‌استفاده از سیستم‌های تجهیزات تلفن‌های همراه انجام می‌دهد. روش‌های رایج حملات مستقیم به شرح ذیل است:

ارسال پیام یا بسته‌های آلوده به واسط های گوشی‌های تلفن همراه.

ارسال برنامه‌های مخرب و پیام‌های آلوده با پست الکترونیک، SMS و یا MMS.

حمله به برنامه‌ها با استفاده از محتویات مخرب یا پکت‌ها.

سوء استفاده از آسیب‌پذیری‌های موجود یا سوء‌استفاده‌ از قابلیت‌های مرور‌گر گوشی‌های تلفن همراه.

در همان سال تحقیقات امنیتی به‌طور مستقیم بر روی آسیب‌پذیری‌های موجود در مرورگر‌ دستگاه‌ها متمرکز شد. به‌طور ویژه، این تحقیقات بر روی آن دسته از آسیب‌پذیری‌ها که از طریق download_drive و بدون دخالت کاربران و غیره صورت می‌گرفتند، آغاز گردید.

تهدیدات موجود در مرورگر‌ها:
موتور وب‌کیت (Webkit) که توسط مرورگر‌های سیستم عامل ios، اندروید، بلک‌بری و WebOS مورد استفاده قرار می‌گیرد، دارای چندین آسیب‌پذیری شناخته شده است که مهاجمان آن را مورد هدف خود قرار می‌دهند.

برخلاف تهدیدات مبتنی بر برنامه‌های کاربردی که با دانلود برنامه‌های آلوده توسط کاربران منتشر می‌شوند، این‌گونه تهدیدات تنها از طریق بازدید یک وب‌سایت مخرب منتشر می‌شوند.

به این صورت که با استفاده از تکنیکی به نام by downloads – drive با مشاهده یک سایت آلوده توسط کاربر، بد‌افزار‌ها به‌طور خودکار و بدون اطلاع وی بارگذاری می‌شوند.
به عنوان مثال، آسیب‌پذیری موجود در موتور وب کیت که با نام ۱۸۰۷ – ۲۰۱۰ - CVE شناخته می‌شود به مهاجم این امکان را می‌دهد که با ایجاد یک صفحه htm خاص موجب crash کردن برنامه شده و بتواند از راه دور کد دلخواهی را اجرا کرده و یا این‌که یک حمله DOS را ترتیب دهد.

روند اینگونه حملات به این صورت است که کاربر از طریق گوشی همراه خود صفحه آلوده‌ای را مشاهده می‌کند.

مشاهده صفحه وب آلوده باعث سوء‌استفاده از آسیب‌پذیری‌های موجود شده و بدین طریق موجب برقراری ارتباط بین گوشی‌های همراه و مهاجم می‌گردد. سپس مهاجم دستوراتی را به منظور دیافت اطلاعات به گوشی همراه، ارسال می‌کند.

این دستورات از طریق آسیب‌پذیری موجود در برنامه‌های کاربری ارسال می‌گردند. پس از آن اطلاعات گردآوری شده توسط برنامه‌ی کاربردی، توسط مهاجم به سرقت می‌رود.

این تحقیقات نشان‌دهنده‌ی این مطلب است که در سال‌های آتی مهاجمان با ترکیب آسیب‌پذیری‌های موجود در برنامه‌ها و مرورگر‌ها و یا سیستم‌های عامل، نسبت به حملات مستقیم اقدام خواهند کرد.

اکسپلویت‌های اجتماعی: نصب‌کننده‌های جعلی
در همان زمان شرکت‌های فعال در زمینه‌ی امنیت تلفن‌های همراه شروع به جمع‌آوری تعداد زیادی از کد‌های مخرب با عنوان نصب‌کننده‌های جعلی در بازار‌های متفرقه برنامه‌های کاربردی کردند که در آنها به جای استفاده از آسیب‌پذیری‌های فنی، از غفلت کاربران برای حلمه استفاده می‌شد.

این‌گونه بدافزار‌ها معمولا به شکل تروجان های SMS در راستای فریب کاربران مورد استفاده قرار می‌گرفتند که کاربر را تشویق به ارسال پیامک‌ها کرده که به ترتیب کاربران برای برنامه‌های جعلی و یا مجانی که در بازار شرکت Andriod وجود داشتند، متحمل هزینه می‌شدند.

در مقایسه با دیگر انواع بدافزار‌های موجود در سال ۲۰۱۱ که نیازمند سرمایه‌گذاری جهت گسترش و انتشار بودند این بد‌افزار‌ها مورد سوء‌استفاده متخصصین و همچنین مهاجمان مبتدی قرار می‌گرفت، چرا که راهی بسیار ساده‌تر و سریع‌تر برای کلاهبرداری مالی نسبت به دیگر روش‌ها که نیازمند کشف اطلاعات بیشتری از کاربران بودند، به حساب می‌آمدند.

بنابراین کاربران باید نسبت به درخواست‌های مالی که از طریق SMS جهت خرید برنامه یا کالای خاصی، ارسال می‌شوند احتیاط بیشتری داشته باشند.

مروری بر روند آلوده‌سازی نرم‌افزار‌های مخرب:
گام۱- کاربران گوشی‌های اندروید یک لینک را از App Store‌های متفرقه از طریق ایمیل یا sms دریافت می‌کنند.

گام ۲- کاربران سعی می‌کنند از روی تجهیز اندروید وارد آن لینک شوند، ولی به یک وب سایت دیگر منتقل می‌شوند که از طریق ان کاربران به دریافت آخرین نسخه Opera mini browser مثلا ۶.۵ تشویق می‌گردند.

گام ۳- به محض این‌که کاربران به این برنامه دسترسی پیدا می‌کنند، یک پیام دریافت می‌کنند که براساس آن می‌بایستی جهت بارگذاری برنامه‌ی مذکور و همچنین قبول تمامی الزامات قانونی مربوطه بر روی دکمه install کلیک کنند.

گام ۴- پس از انکه کاربران بر روی دکمه install کلیک نمایند، سه sms هزینه‌دار به شماره‌های از قبل تعیین شده ارسال می‌گردند. لیست زیر sms‌های دریافت شده را نشان می‌دهد.

گام ۵- پس از ارسال sms‌ها، برنامه‌ی جعلی مذکور نسبت به باز‌کردن URL بارگذاری برنامه اصلی اقدام می‌کند. مانند کلیه کلاهبرداری‌های این چنینی، هیچ یک از هزینه‌های پرداخت شده قابل برگشت نیستند و به کاربران تحمیل خواهند شد.

ارتباطات شبکه‌ای چنانچه به صورت مناسبی امن نشده باشند بسیار آسیب‌پذیر خواهند بود. اگرچه درگذشته یک چنین حملاتی نیازمند تخصص و زمان زیادی از سوی هکرها بوده است، ولیکن در حال حاضر با توجه به رواج روز‌افزون تبلت‌ها و گوشی‌های تلفن هوشمند، شرایط برای هکرها کاملا عوض شده است.

از آنجا که این وسائل اغلب از ارتباط Wi-Fi استفاده می‌کنند کاملا ناامن بوده و به وفور توسط هکرها مورد حمله قرار گرفته‌اند که به دو نمونه از آن می‌پردازیم:

۱_ هک شدن از طریق Wi-Fi:
با گسترش روز‌افزون استفاده از ارتباط Wi-Fi در گوشی‌های تلفن هوشمند و تبلت‌ها، تعداد Wi-Fi-hotspot ها از ۱.۳ میلیون به ۵.۸ میلیون تا قبل از سال ۲۰۱۵ خواهد رسید که نشان‌دهنده‌ی رشد ۳۵۰ درصدی آنهاست. Wi-Fi-hotspot ها کانال‌های راحتی برای هکرها جهت اکسپلویت کردن هستند.

با استفاده از ابزار‌هایی همچون FaceNiff و Firesheep به راحتی می‌توان کاربران را بر روی یک شبکه Wi-Fi شناسایی کرده و اطلاعات آنها را به سرقت برد. لذا هکرها به سهولت قادر خواهند بود که کلمات عبور کارت‌های اعتباری کاربران و یا دیگر اطلاعات شخصی آنها را سرقت کنند.

۲_ حملات MITM:
شبکه‌های Wi-Fi مستعد حملات MITM نیز هستند. در این گونه حملات، شخص حمله‌کننده با استفاده از یک گوشی همراه وارد یک شبکه ناامن Wi-Fi شده و نسبت به تبادل اطلاعات در آن با دیگر کاربران اقدام می‌کنند. از آنجا که تعداد زیادی از گوشی‌های تلفن همراه با امنیت پایین در این شبکه وجود دارند، هکرها به راحتی می‌توانند نسبت به سرقت اطلاعات حساس کاربران اقدام کنند. همانند روش‌های هک‌کردن Wi-Fi، ابزار‌های هک در MITM نیز به وفور در شبکه اینترنت وجود دارند که از جمله می‌توان به ابزار‌های موجود در وب‌سایت ethicalhacher.net اشاره کرد.

بدافزارها و دیگر تهدیدات تکنیکی فقط یک مشکل از امنیت گوشی‌های تلفن همراه است. علاوه بر آنها مدیریت گوشی های همراه در خصوص محافظت از اطلاعات حساس در هنگام گم شدن و یا به سرقت رفتن تجهیزات مذکور نیز از اهمیت بالایی برخوردار است، چرا که دزدیده شدن و گم‌شدن آنها ممکن است باعث ایجاد مشکل عدیده‌ای مانند افشای غیرمجاز اطلاعات حساس، خسارات ناشی از افشای اطلاعات محرمانه پروژه‌های اقتصادی و خسارات ناشی از دسترسی غیرمجاز به اطلاعات شخصی کاربران و سوء‌استفاده از آنها.

آمارها نشان می‌دهند که ازهر پنج کاربر که گوشی تلفن همراه آنها گم شده است، یک نفرشان از دستور مکانیابی (locate) استفاده کرده است، در حالی‌که تنها ۹۱ درصد آنها از دستور (wipe) برای پاکسازی اطلاعات حساسشان استفاده کرده‌اند.