باگ اندروید اطلاعات کیف پول‌ ارزهای دیجیتال را به هکرها می‌دهد!

آسیب‌پذیری جدیدی در اندروید به نام «StrandHogg» کشف شده است که می‌تواند دسترسی هکرها به اطلاعات خصوصی برنامه‌های مختلفی مانند کیف پول ارزهای دیجیتال را تقریباً در هر تلفن همراه اندرویدی امکان‌پذیر کند. از این بدافزار قبلاً نیز برای دسترسی به اطلاعات بانکی استفاده شده بود. طبق ادعای شرکت امنیتی «پرومون» (Promon)، این کد مخرب در تمام نسخه‌های اندروید وجود دارد.

به گزارش کوین دسک، بدافزار StrandHogg موضوع کاملاً جدیدی نیست. محققان امنیتی از سال ۲۰۱۵ اطلاعاتی در مورد نسخه «اثبات مفهوم» این نرم‌افزار داشتند. نسخه عملیاتیِ این بدافزار که به صورت بالقوه بسیار خطرناک است، در یک سال اخیر در سطح وسیعی در فضای اینترنت پخش شده است. پرومون بعد از اینکه متوجه شد این بدافزار چقدر می‌تواند گسترده و خطرناک باشد، یک صفحه اطلاعات درباره آن ایجاد کرده است.

این بدافزار در هنگام بالا آمدن نرم‌افزار اختلال ایجاد می‌کند و قبل از صفحه خوش‌آمدگویی بالا می‌آید و کاربر را مجبور می‌کند قبل از اجرا شدن برنامه اصلی، به بدافزار امکان دسترسی به تلفن همراه را بدهد.

لارس لاندی بیرکلند (Lars Lunde Birkeland)، مدیر بازاریابی و ارتباطات پرومون دراین باره می‌گوید:

محققان ما بر توصیف این نقطه ضعف متمرکز شده‌اند. ما با شرکت «Lookout Security» نیز همکاری می‌کنیم، این شرکت با اسکن کردن مجموعه داده‌هایشان از بدافزارها در این طرح مشارکت کرده‌اند. آن‌ها ۳۶ برنامه مخرب پیدا کردند که از این نقص سوء استفاده می‌کند. ما ۵۰۰ نرم‌افزار را تست کردیم که همه آن‌ها آسیب‌پذیر هستند.

بنابه ادعای پرومون تمام نسخه‌های اندروید از جمله اندروید ۱۰ تحت تاثیر این اتفاق قرار گرفته‌اند، حتی گوشی‌های امن نیز آسیب‌‎پذیر هستند.

کارکرد این بدافزار به گونه‌ای است که وقتی کاربر یک نرم‌افزار را اجرا می‌کند، در فاصله اجرای آن تا بالا آمدن صفحه خوش‌آمدگویی، این بدافزار خود را به جای نرم‌افزار اصلی جا می‌زند و اجازه دسترسی به مخاطب‌ها، تصاویر، موقعیت مکانی و سایر اطلاعات گوشی را از کاربر می‌گیرد. کاربر در حالی که فکر می‌کند این دسترسی‌ها مربوط به نرم‌افزار اصلی است اجازه را صادر می‌کند و سپس برنامه اصلی اجرا می‌شود، انگار هیچ اتفاق خاصی نیفتاده است.

بیرکلند در این مورد توضیح می‌دهد:

قربانی نرم‌افزار اصلی را باز می‌کند، اما به جای اینکه مستقیماً وارد برنامه شود، بدافزار گوشی را فریب داده و یک پاپ-آپ برای صادر کردن اجازه دسترسی به کاربر نشان می‌دهد. کاربر به هکر و بدافزارش اجازه دسترسی به اطلاعات گوشی را داده و سپس به صفحه اصلی برنامه هدایت می‌شود.

تحقیقات نشان می‌دهد یک تروجان به نام «BankBot» از این بدافزار استفاده کرده و توانسته با استفاده از آن امکان دسترسی به پیامک‌ها، رمزهای عبور و تماس‌های خروجی را دریافت کند و حتی بتواند گوشی را قفل کند و برای برگرداندن آن از کاربر باج بگیرد. این یک نگرانی بزرگ برای تمام افرادی است که از نرم‌افزارهای بانکی، مالی و کیف پول های ارز دیجیتال در تلفن‌های همراه خود استفاده می‌کنند.

بیرکلند می‌گوید:

این یک تروجان معروف بانکی است و در تمام کشورهای دنیا دیده شده است. این آسیب‌پذیری بسیار جدی است و به مهاجم این امکان را می‌دهد که حملات بسیار گسترده‌ای انجام دهد.

این بدافزار می‌تواند در بعضی از نرم‌افزارها و بعضی از نسخه‌های اندروید، صفحه ورود جعلی به کاربر نشان دهد، اما گرفتن اجازه دسترسی به گوشی رایج‌تر از این روش است.

پرومون این بدافزار را زمانی شناسایی کرد که چند بانک در جمهوری چک گزارش دادند مقداری پول از حساب مشتریانشان ناپدید شده است. محققان در این زمینه می‌گویند:

شرکت پرومون با استفاده از تحقیقاتش قادر به شناسایی بدافزاری بود که از یکی از خطرناک‌ترین نقاط ضعف اندروید سواستفاده می‌کرد. همچنین Lookout که در این زمینه با پرومون همکاری می‌کند، ادعا کرده که ۳۶ برنامه مخرب را پیدا کرده‌اند که از این نقطه ضعف اندروید استفاده می‌کردند. در میان آن‌ها چند تروجان بانکی BankBot در اوایل سال ۲۰۱۷ دیده شده است.

با اینکه گوگل نرم‌افزارهای آسیب‌دیده را حذف کرده است، اما طبق اطلاعات ما این نقطه ضعف در هیچ یک از نسخه‌های اندروید، حتی در اندروید ۱۰ برطرف نشده است.

دلیل نام‌‎گذاری این باگ به «StrandHogg» مربوط به ریشه سوئدی شرکت پرومون است. یکی از تاکتیک‌های جنگی وایکینگ‌های اسکاندیناوی، حمله به مناطق ساحلی و غارت و گروگان‌گیری افراد برای اخذ باج بود.

یکی از سخنگویان گوگل در این مورد می‌گوید:

ما از کار این محققان قدردانی می‌کنیم و برنامه‌های مخربی را که آن‌ها شناسایی کرده‌اند به حالت تعلیق درآورده‌ایم. Google Play Protect برنامه‌های مخرب و از جمله برنامه‌هایی که از این تکنیک استفاده می‌کردند را شناسایی و مسدود می‌کند. به علاوه ما به تحقیقاتمان برای بهبود توانایی‌های Google Play Protect برای محافظت از کاربران در برابر بدافزارهای مشابه ادامه می‌دهیم.